Criteri di sicurezza CJIS (Criminal Justice Information Services)

Panoramica di CJIS

La divisione CJIS (Criminal Justice Information Services) del Federal Bureau of Investigation (FBI) degli Stati Uniti fornisce alle forze dell'ordine, locali e federali e alle agenzie di polizia giudiziarie federali l'accesso alle informazioni sulla giustizia penale (CJI), ad esempio, ai record delle impronte digitali e alle cronologie penali. Le forze dell'ordine e altre agenzie governative negli Stati Uniti devono garantire che l'uso dei servizi cloud per la trasmissione, l'archiviazione o l'elaborazione di CJI sia conforme ai criteri di sicurezza CJIS,che stabilisce i requisiti minimi di sicurezza e i controlli per la sicurezza CJI.

I criteri di sicurezza CJIS integrano le direttive presidenziali e dell'FBI, le leggi federali e le decisioni del Comitato consultivo della community per la giustizia penale, insieme alle indicazioni del National Institute of Standards and Technology (NIST). Il criterio viene aggiornato periodicamente per riflettere l'evoluzione dei requisiti di sicurezza.

I criteri di sicurezza CJIS definiscono 13 aree che gli appaltatori privati, ad esempio i provider di servizi cloud, devono valutare per determinare se l'uso dei servizi cloud può essere coerente con i requisiti CJIS. Queste aree corrispondono strettamente al NIST 800-53, che è anche la base del Federal Risk and Authorization Management Program (FedRAMP),un programma in base al quale Microsoft è stata certificata per le sue offerte government cloud.

Inoltre, tutti gli appaltatori privati che elaborano CJI devono firmare il CJIS Security Addendum, un accordo uniforme approvato dal Attorney General degli Stati Uniti che garantisce la sicurezza e la riservatezza della CJI richiesta dai criteri di sicurezza. Inoltre, impegna l'appaltatore a mantenere un programma di sicurezza coerente con le leggi, i regolamenti e gli standard federali e statali e limita l'uso di CJI agli scopi per i quali un'agenzia governativa lo ha fornito.

Criteri di sicurezza di Microsoft e CJIS

Microsoft firma il CJIS Security Addendum negli stati con i contratti di informazioni CJIS. Queste informazioni consentono alle autorità di contrasto dello stato responsabili della conformità ai criteri di sicurezza CJIS in che modo i controlli di sicurezza cloud di Microsoft aiutano a proteggere l'intero ciclo di vita dei dati e a garantire uno screening in background appropriato del personale operativo con accesso a CJI. Microsoft continua a collaborare con i governi statali per stipulare contratti di informazioni CJIS.

Microsoft ha valutato i criteri operativi e le procedure di Microsoft Azure Government, Microsoft Office 365 U.S. Government e Microsoft Dynamics 365 U.S. Government e ne attesta la capacità nei contratti di servizi applicabili di soddisfare i requisiti dell'FBI per l'utilizzo di servizi nell'ambito.

Informazioni sui vantaggi dei criteri di sicurezza CJIS in Microsoft Cloud: leggi come Genetec ha autorizzato le indagini penali

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure Per enti pubblici
  • Dynamics 365 U.S. Government
  • Office 365 Governo degli Stati Uniti
  • Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365

Azure, Dynamics 365 e CJIS

Per altre informazioni sulla conformità di Azure, Dynamics 365 e altri servizi online, vedi l'offerta CJIS di Azure.

Office 365 e CJIS

Ambienti cloud di Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione tratta i seguenti ambienti cloud di Office 365:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
GCC Azure Active Directory, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Controlli, report e certificati di Office 365

L'FBI non offre la certificazione della conformità Microsoft ai requisiti CJIS. Al contrario, un'attestazione Microsoft è inclusa nei contratti tra Microsoft e l'autorità CJIS di uno stato e tra Microsoft e i suoi clienti.

Requisiti cloud di Microsoft CJIS

Stato CJIS negli Stati Uniti (corrente dal 5/11/2020)

44 stati e il Distretto di Columbia con accordi di gestione, evidenziati sulla mappa in verde includono:

Alabama, Alaska, Arizona, Arkansas, California, Colorado, Connecticut, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Massachusetts, Michigan, Michigan, Michigan, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, North Carolina, North Dakota, Oklahoma, Oregon, Pennsylvania, North Island, South Carolina, Texas, Texas, Vermont, Virginia, Washington, West Virginia, Wisconsin e distretto di Columbia.

L'impegno di Microsoft a soddisfare i controlli normativi CJIS applicabili consente alle organizzazioni della giustizia penale di implementare soluzioni basate sul cloud ed essere conformi ai criteri di sicurezza CJIS V5.9.

Domande frequenti

Dove è possibile richiedere informazioni sulla conformità?

Contattare il rappresentante dell'account Microsoft per informazioni sulla giurisdizione a cui si è interessati. Contattare cjis@microsoft.com per informazioni sui servizi attualmente disponibili in quali stati.

In che modo Microsoft dimostra che i servizi cloud consentono la conformità ai requisiti del mio stato?

Microsoft firma un Contratto di informazioni con una CJIS Systems Agency (CSA) di stato; puoi richiedere una copia dal CSA del tuo stato. Inoltre, Microsoft fornisce ai clienti informazioni approfondite su sicurezza, privacy e conformità. I clienti possono anche esaminare i report di sicurezza e conformità preparati da revisori indipendenti in modo da poter verificare che Microsoft abbia implementato controlli di sicurezza (ad esempio ISO 27001) appropriati per l'ambito di controllo pertinente.

Da dove parto con lo sforzo di conformità della mia agenzia?

I criteri di sicurezza CJIS riguardano le precauzioni che l'agenzia deve adottare per proteggere CJI. Inoltre, il rappresentante dell'account Microsoft può metterti in contatto con coloro che hanno familiarità con i requisiti della tua giurisdizione

Usare Microsoft Compliance Manager per valutare i rischi

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse