Политика безопасности служб информации о злоумышленниках (CJIS)
Общие сведения о CJIS
Отдел службЫ информации о злоумышленниках (CJIS) Федерального округа расследований США (СИДЖ) предоставляет государственным, локальным и федеральным правоохранители и федеральным государственным учреждениям доступ к информации о злоумышленниках (CJI), например к отпечаткам пальцев и журналам уголовных организаций. Правоохранители и другие правительственные учреждения в США должны убедиться, что их использование облачных служб для передачи, хранения или обработки CJI соответствует Политике безопасности CJIS, которая устанавливает минимальные требования к безопасности и средства контроля для защиты CJI.
Политика безопасности CJIS интегрирует директивы и ДИРЕКТИВЫ ИНСТРУКЦИИ, федеральные законы и решения совета по политикам сообщества уголовных организаций, а также рекомендации Национального института стандартов и технологий (NIST). Политика периодически обновляется в соответствии с меняющейся требованиями к безопасности.
Политика безопасности CJIS определяет 13 областей, которые частные подрядчики, такие как поставщики облачных служб, должны оценить, чтобы определить, может ли их использование облачных служб соответствовать требованиям CJIS. Эти области тесно соответствуют NIST 800-53, который также является основой для Федеральной программы управления рисками и авторизацией (FedRAMP) — программы, в рамках которой корпорация Майкрософт сертифицирована для своих облачных предложений для государственных организаций.
Кроме того, все частные подрядчики, которые обрабатывают CJI, должны подписать надстройку по обеспечению безопасности CJIS, унифицированное соглашение, утвержденное общими защитниками США, которое помогает обеспечить безопасность и конфиденциальность CJI, требуемую политикой безопасности. Он также обязуется поддерживать программу безопасности, согласованную с федеральным законодательством и законодательством штата, нормативными актами и стандартами, а также ограничивает использование CJI целями, предоставленными государственным учреждением.
Политика безопасности Майкрософт и CJIS
Корпорация Майкрософт подписывает надстройку безопасности CJIS в штатах с помощью информационных соглашений CJIS. Они сообщают правоохранительным службам штата, отвечающим за соответствие политике безопасности CJIS, как средства управления облачной безопасностью Майкрософт помогают защитить полный жизненный цикл данных и обеспечить соответствующий фоновый просмотр операционного персонала с доступом к CJI. Корпорация Майкрософт продолжает работать с правительственными учреждениями штатов, чтобы войти в соглашения об использовании информации CJIS.
Корпорация Майкрософт оценила операционные политики и процедуры Microsoft Azure для государственных организаций, Microsoft Office 365 для государственных организаций США и Microsoft Dynamics 365 для государственных организаций США и будет подтвердить свою способность в применимых соглашениях об услугах соответствовать требованиям ИНСТРУКЦИИ ДЛЯ использования служб в области действия.
Сведения о преимуществах политики безопасности CJIS в Microsoft Cloud: узнайте, как Genetec очищает расследования в отношении злоумышленников.
Службы облачных & платформ Майкрософт в области действия
- Azure для государственных организаций
- Dynamics 365 для государственных организаций США
- Office 365 для государственных организаций США
- Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
Azure, Dynamics 365 и CJIS
Дополнительные сведения об Azure, Dynamics 365 и других веб-службы см. в предложении Azure CJIS.
Office 365 и CJIS
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе описываются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| GCC | Azure Active Directory, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream |
Аудит, отчеты и сертификаты Office 365
ПРЕДЛОЖЕНИЕ ПОВН не предоставляет сертификацию соответствия корпорации Майкрософт требованиям CJIS. Вместо этого аттестация Майкрософт включается в соглашения между корпорацией Майкрософт и центром CJIS штата, а также между корпорацией Майкрософт и ее клиентами.
Требования к облаку Microsoft CJIS
Состояние CJIS в США (текущее значение на 11.08.2022)
45 штатов и округ Колумбия с соглашениями об управлении, выделенные на карте зеленым цветом:
Алабама, Аргентина, Штат Аризона, Арканзас, Калифорния, ШтатаМио, Connecticut,Чито, Колумбия, Вашингтон, Штат Idaho, Штат Колумбия, Штат Колумбия, Айова, Вашингтон, Вашингтон, Штат Вашингтон, Штат Нью-Йорк, Вашингтон, Нью-Йорк, Северная Колумбия, Северо-Восточная Республика, Северо-Восточная Республика, Колумбия, Вашингтон, Сша, Южная Австралия, Техас, Вершина, Вирджиния, Вашингтон, Западная Вирджиния, Виртуалия и округ Колумбия.
Обязательства корпорации Майкрософт по соответствию применимым нормативным элементам управления CJIS позволяют организациям- уголовным организациям внедрять облачные решения и соответствовать политике безопасности CJIS версии 5.9.
Вопросы и ответы
Где можно запросить сведения о соответствии?
Обратитесь к представителю учетной записи Майкрософт, чтобы получить сведения о требуемой юрисдикции. Обратитесь cjis@microsoft.com за информацией о том, какие службы в настоящее время доступны в каких состояниях.
Как корпорация Майкрософт демонстрирует, что облачные службы обеспечивают соответствие требованиям моего состояния?
Корпорация Майкрософт подписывает информационное соглашение с штатом CJIS Systems Agency (CSA); Вы можете запросить копию из CSA вашего состояния. Кроме того, корпорация Майкрософт предоставляет клиентам подробные сведения о безопасности, конфиденциальности и соответствии требованиям. Клиенты также могут просматривать отчеты о безопасности и соответствии, подготовленные независимыми аудиторами, чтобы они могли проверить, что корпорация Майкрософт реализовала средства контроля безопасности (например, ISO 27001), соответствующие соответствующей области аудита.
С чем начать работу по обеспечению соответствия требованиям моего агентства?
Политика безопасности CJIS охватывает меры предосторожности, которые ваше учреждение должно принять для защиты CJI. Кроме того, представитель учетной записи Майкрософт может установить связь с пользователями, знакомыми с требованиями вашей юрисдикции.
Использование диспетчера соответствия требованиям Microsoft Purview для оценки рисков
Диспетчер соответствия требованиям Microsoft Purview — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия вашей организации и принимать меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.