Criteri di sicurezza di Criminal Justice Information Services (CJIS)
Panoramica di CJIS
La divisione Criminal Justice Information Services (CJIS) dell'FBI (Federal Bureau of Investigation) fornisce alle forze dell'ordine statali, locali e federali e alle agenzie di giustizia penale l'accesso alle informazioni sulla giustizia penale (CJI). CJI include, ad esempio, i registri delle impronte digitali e le cronologie criminali. Le forze dell'ordine e altre agenzie governative nel Stati Uniti devono garantire che l'uso dei servizi cloud per la trasmissione, l'archiviazione o l'elaborazione di CJI sia conforme ai criteri di sicurezza CJIS, che stabiliscono i requisiti minimi di sicurezza e i controlli per salvaguardare CJI.
La politica di sicurezza CJIS integra le direttive presidenziali e dell'FBI, le leggi federali e le decisioni del consiglio di politica della giustizia penale, insieme alle indicazioni del National Institute of Standards and Technology (NIST). I criteri vengono aggiornati periodicamente per riflettere i requisiti di sicurezza in continua evoluzione.
I criteri di sicurezza CJIS definiscono 13 aree che i terzisti privati, ad esempio i provider di servizi cloud, devono valutare per determinare se l'uso dei servizi cloud può essere coerente con i requisiti CJIS. Queste aree corrispondono strettamente al NIST 800-53, che è anche la base per il Federal Risk and Authorization Management Program (FedRAMP), un programma in base al quale Microsoft è stato certificato per le sue offerte cloud per enti pubblici.
Inoltre, tutti gli appaltatori privati che elaborano CJI devono firmare l'Addendum per la sicurezza CJIS, un accordo uniforme approvato dal procuratore generale degli Stati Uniti che contribuisce a garantire la sicurezza e la riservatezza di CJI richieste dalla politica di sicurezza. Impegna inoltre l'appaltatore a mantenere un programma di sicurezza coerente con le leggi, le normative e gli standard federali e statali e limita l'uso di CJI agli scopi per i quali un'agenzia governativa lo ha fornito.
Criteri di sicurezza Microsoft e CJIS
Microsoft firma il componente aggiuntivo per la sicurezza CJIS negli stati con i contratti di informazioni CJIS. Queste informazioni indicano alle autorità statali responsabili della conformità ai criteri di sicurezza CJIS in che modo i controlli di sicurezza cloud microsoft aiutano a proteggere l'intero ciclo di vita dei dati e a garantire uno screening in background appropriato del personale operativo con accesso a CJI. Microsoft continua a collaborare con i governi statali per stipulare contratti informativi CJIS.
Microsoft ha valutato i criteri operativi e le procedure di Microsoft Azure per enti pubblici, Microsoft Office 365 governo degli Stati Uniti e Microsoft Dynamics 365 governo degli Stati Uniti e attesta la loro capacità nei contratti di servizi applicabili di soddisfare i requisiti dell'FBI per l'uso di servizi nell'ambito.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure per enti pubblici
- Dynamics 365 governo degli Stati Uniti
- Office 365 governo degli Stati Uniti
- Servizio cloud di Power BI come parte di un piano o di una suite con marchio Office 365 Government Community Cloud
Azure, Dynamics 365 e CJIS
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta CJIS di Azure.
Office 365 e CJIS
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
GCC | Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business Stream |
Controlli, report e certificati di Office 365
L'FBI non offre la certificazione di conformità Microsoft ai requisiti CJIS. Al contrario, un'attestazione Microsoft è inclusa negli accordi tra Microsoft e l'autorità CJIS di uno stato e tra Microsoft e i suoi clienti.
Stato CJIS nel Stati Uniti (attuale al 27 settembre 2024)
Ci sono accordi di gestione CJIS che coprono le agenzie di giustizia penale in 47 stati e il Distretto di Columbia:
Alabama, Alaska, Arizona, Arkansas, California, Colorado, Connecticut, Florida, Georgia, Hawaii, Illinois, Indiana, Iowa, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, North Carolina, North Dakota, Ohio, Oklahoma, Oregon, Pennsylvania, Rhode Island, Carolina del Sud, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin, e il Distretto di Columbia.
L'impegno di Microsoft a rispettare i controlli normativi CJIS applicabili consente alle organizzazioni di giustizia penale di implementare soluzioni basate sul cloud e di essere conformi ai criteri di sicurezza CJIS v5.9.5.
Domande frequenti
Dove è possibile richiedere informazioni di conformità?
Per informazioni sulla giurisdizione a cui si è interessati, contattare il rappresentante dell'account Microsoft. Contattare cjis@microsoft.com per informazioni sui servizi attualmente disponibili in quali stati.
In che modo Microsoft dimostra che i servizi cloud consentono la conformità ai requisiti del mio stato?
Microsoft firma un contratto informativo con una CJIS Systems Agency (CSA) statale; è possibile richiedere una copia dal csa dello stato. Inoltre, Microsoft offre ai clienti informazioni approfondite su sicurezza, privacy e conformità. I clienti possono anche esaminare i report di sicurezza e conformità preparati da revisori indipendenti in modo da poter verificare che Microsoft abbia implementato controlli di sicurezza (ad esempio ISO 27001) appropriati per l'ambito di controllo pertinente.
Da dove iniziare con l'impegno di conformità dell'agenzia?
I criteri di sicurezza CJIS riguardano le precauzioni che l'agenzia deve adottare per proteggere CJI. Inoltre, il rappresentante dell'account Microsoft può metterti in contatto con coloro che hanno familiarità con i requisiti della tua giurisdizione.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.