Sicherheitspolitik der Strafjustizinformationsdienste (CJIS)

Übersicht über CJIS

Die Abteilung für Strafjustizinformationsdienste (CJIS) des US Federal Bureau of Investigation (FBI) gewährt staatlichen, lokalen und bundesrechtlichen Strafverfolgungsbehörden Zugriff auf Strafrechtsinformationen (CJI), z. B. Fingerabdruckaufzeichnungen und Strafgeschichten. Strafverfolgungsbehörden und andere Regierungsbehörden im USA müssen sicherstellen, dass ihre Nutzung von Clouddiensten für die Übertragung, Speicherung oder Verarbeitung von CJI der CJIS-Sicherheitsrichtlinie entspricht, die Mindestsicherheitsanforderungen und -kontrollen zum Schutz von CJI festlegt.

Die CJIS-Sicherheitsrichtlinie integriert Präsidial- und FBI-Richtlinien, Bundesgesetze und die Entscheidungen des Advisory Policy Board der Strafrechtsgemeinschaft sowie die Anleitungen des National Institute of Standards and Technology (NIST). Die Richtlinie wird in regelmäßigen Abständen aktualisiert, um sich ändernde Sicherheitsanforderungen widerzuspiegeln.

Die CJIS-Sicherheitsrichtlinie definiert 13 Bereiche, die private Auftragnehmer wie Clouddienstanbieter bewerten müssen, um festzustellen, ob ihre Nutzung von Clouddiensten mit den CJIS-Anforderungen konsistent sein kann. Diese Bereiche entsprechen eng NIST 800-53, das auch die Grundlage für das Federal Risk and Authorization Management Program (FedRAMP) ist, ein Programm, in dem Microsoft für seine Government Cloud-Angebote zertifiziert wurde.

Darüber hinaus müssen alle privaten Auftragnehmer, die CJI verarbeiten, den CJIS-Sicherheitszutrag unterzeichnen, eine vom US-Generalstaatsanwalt genehmigte einheitliche Vereinbarung, die dazu beiträgt, die Sicherheit und Vertraulichkeit von CJI zu gewährleisten, die von der Sicherheitsrichtlinie gefordert wird. Es verpflichtet den Auftragnehmer auch, ein Sicherheitsprogramm im Einklang mit Bundes- und Landesgesetzen, Vorschriften und Standards zu führen, und beschränkt die Verwendung von CJI auf die Zwecke, für die eine Regierungsbehörde es bereitgestellt hat.

Microsoft- und CJIS-Sicherheitsrichtlinie

Microsoft signiert den CJIS-Sicherheits-Nachtrag in Staaten mit CJIS-Informationsvereinbarungen. Diese informieren staatliche Strafverfolgungsbehörden, die für die Einhaltung der CJIS-Sicherheitsrichtlinie verantwortlich sind, wie die Cloudsicherheitskontrollen von Microsoft dazu beitragen, den gesamten Lebenszyklus der Daten zu schützen und eine angemessene Hintergrundüberprüfung des Betriebspersonals mit Zugriff auf CJI sicherzustellen. Microsoft arbeitet weiterhin mit den Regierungen der Bundesstaaten zusammen, um CJIS-Informationsvereinbarungen abzuschließen.

Microsoft hat die Betriebsrichtlinien und -verfahren von Microsoft Azure Government, Microsoft Office 365 US-Regierung und Microsoft Dynamics 365 US-Regierung bewertet und wird ihre Fähigkeit in den anwendbaren Dienstvereinbarungen nachweisen, die FBI-Anforderungen für die Nutzung von Diensten im Gültigkeitsbereich zu erfüllen.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure Government
  • Dynamics 365 US-Regierung
  • Office 365 US-Regierung
  • Power BI-Clouddienst als Teil eines Office 365 Government Community Cloud-Plans oder einer Suite

Azure, Dynamics 365 und CJIS

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure CJIS-Angebot.

Office 365 und CJIS

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
GCC Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Office 365-Audits, -Berichte und -Zertifikate

Das FBI bietet keine Zertifizierung der Einhaltung der CJIS-Anforderungen durch Microsoft an. Stattdessen ist ein Microsoft-Nachweis in Vereinbarungen zwischen Microsoft und der CJIS-Behörde eines Staates sowie zwischen Microsoft und seinen Kunden enthalten.

Microsoft CJIS-Cloudanforderungen

CJIS status im USA (aktuell ab 08.11.2022)

45 Bundesstaaten und der District of Columbia mit Managementvereinbarungen umfassen:

Alabama, Alaska, Arizona, Arkansas, Kalifornien, Colorado, Connecticut, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, North Carolina, North Dakota, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin und der District of Columbia.

Die Verpflichtung von Microsoft, die geltenden CJIS-Regulierungskontrollen einzuhalten, ermöglicht es Organisationen der Strafjustiz, cloudbasierte Lösungen zu implementieren und mit der CJIS-Sicherheitsrichtlinie V5.9 konform zu sein.

Häufig gestellte Fragen

Wo kann ich Complianceinformationen anfordern?

Wenden Sie sich an Ihren Microsoft-Kontovertreter, um Informationen zu dem Land zu erhalten, an dem Sie interessiert sind. Wenden Sie cjis@microsoft.com sich an, um zu erfahren, welche Dienste derzeit in welchen Zuständen verfügbar sind.

Wie zeigt Microsoft, dass seine Clouddienste die Einhaltung der Anforderungen meines Bundesstaats ermöglichen?

Microsoft unterzeichnet eine Informationsvereinbarung mit einer staatlichen CJIS Systems Agency (CSA); Sie können eine Kopie von der CSA Ihres Staates anfordern. Darüber hinaus bietet Microsoft Kunden ausführliche Informationen zu Sicherheit, Datenschutz und Compliance. Kunden können auch Sicherheits- und Complianceberichte überprüfen, die von unabhängigen Prüfern erstellt wurden, um zu überprüfen, ob Microsoft Sicherheitskontrollen (z. B. ISO 27001) implementiert hat, die für den relevanten Überwachungsumfang geeignet sind.

Wo beginne ich mit den Compliance-Bemühungen meiner Agentur?

Die CJIS-Sicherheitsrichtlinie deckt die Vorsichtsmaßnahmen ab, die Ihre Behörde zum Schutz von CJI treffen muss. Darüber hinaus kann Ihr Microsoft-Kontomitarbeiter Sie mit personen in Kontakt setzen, die mit den Anforderungen Ihrer Gerichtsbarkeit vertraut sind.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen