Использование AWS в информационных решениях в области уголовной юстиции

Обзор

Политика безопасности CJIS предусматривает «надлежащие средства управления для защиты всего жизненного цикла информации в области уголовной юстиции (CJI) при хранении или передаче», независимо от лежащей в основе модели информационной технологии. С помощью решений на базе AWS агентства могут обеспечить защиту своих приложений и данных облаке AWS и управление ими.

AWS предоставляет компоненты, которые государственные агентства безопасности и их партнеры по приложениям могут использовать для создания высокодоступных, устойчивых и надежных приложений в соответствии с Политикой безопасности CJIS. Клиенты AWS сохраняют за собой полное право собственности на свои данные и контроль над ними, который осуществляется с помощью простых, эффективных, оптимизированных для облака инструментов, которые помогают им управлять всем жизненным циклом конфиденциальных данных клиентов. Клиенты самостоятельно устанавливают место хранения данных и способы их защиты при передаче и хранении и управляют доступом к своим информационным системам на базе AWS. Этот контроль осуществляется эксклюзивно.

Чтобы обеспечить надлежащую защиту информации в области уголовной юстиции (CJI) и соответствие требованиям политики безопасности CJIS, необходимо использовать определенные механизмы контроля безопасности, гарантирующие предоставление доступа к CJI только уполномоченным лицам. Принцип минимальных привилегий представляет собой один из краеугольных камней Политики безопасности CJIS. В его основе лежит стандарт «служебной необходимости и права на получение информации». Клиенты AWS могут использовать принцип минимальных привилегий для безопасного шифрования своих данных CJI и предоставления исключительного доступа к CJI лицам, имеющим доступ к ключам шифрования. Клиенты получают сервисы и инструменты AWS, такие как сервис управления ключами AWS (AWS KMS) и AWS Nitro System, чтобы агентства и доверенные партнеры могли сохранять полный контроль над данными в области уголовной юстиции и право на владение ими.

AWS KMS использует аппаратные модули защиты (HSM), прошедшие проверку в соответствии с FIPS 140-3 и позволяющие клиентам создавать, владеть и управлять собственными главными ключами всех операций шифрования. Эти ключи всегда остаются в пределах аппаратных модулей безопасности сервиса AWS KMS, соответствующих требованиям FIPS, в незашифрованном виде и не передаются персоналу AWS.

AWS Nitro System использует специальное оборудование и серверы, спроектированные исключительно для работы с гипервизором виртуальных вычислений, поэтому в них отсутствуют все ненужные порты, компоненты и возможности традиционных серверов. Модель безопасности AWS Nitro System, основанная на функции блокировки, ограничивает административный доступ, исключая возможность человеческой ошибки и подделки данных. Также клиенты могут выбрать AWS Nitro Enclaves, где не реализовано постоянное хранилище, интерактивный доступ и внешний сетевой функционал для создания изолированных компьютерных сред, чтобы улучшить защиту и безопасную обработку конфиденциальных данных.

Эти технологические преимущества AWS Nitro System и сервиса управления ключами AWS с использованием аппаратных модулей защиты, проверенных в соответствии с FIPS 140-3, в качестве симметричных ключей шифрования устраняют необходимость применения традиционного метода физической защиты и фоновых проверок для разрешения доступа отдельных пользователей к незашифрованным CJI. Традиционный подход обеспечивает минимальное соответствие требованиям Политики безопасности CJIS, однако он не сравнится с уровнем безопасности, которого можно достичь с помощью надежных методик шифрования и развертывания принципов «минимальных привилегий», позволяющих предоставлять доступ к CJI только лицам, которых испытывают служебную необходимость, имеют право на получение информации или соответствующее явно выраженное разрешение. Это позволяет клиентам и поставщикам приложений создавать решения, благодаря которым сотрудникам AWS не требуется физический и логический доступ к CJI и устройствам, которые хранят, обрабатывают и передают CJI.

Темы страниц

Вопросы и ответы
5

Вопросы и ответы

Открыть все

Для CJIS не существует ни центрального регулирующего органа, ни списка аккредитованных независимых оценщиков, нет также стандартизированного подхода к оценке для определения соответствия того или иного решения требованиям CJIS. AWS помогает клиентам соблюдать требования CJIS.

Все сервисы AWS, работающие с данными при хранении, поддерживают шифрование данных с параллельными ключами FIPS 197 AES 256 в соответствии с Политикой безопасности CJIS, и клиенты могут управлять собственными ключами шифрования с помощью сервиса AWS Key Management Service (KMS), который использует аппаратные модули защиты (HSM), проверенные в соответствии с FIPS 140-2, и поддерживает адреса, проверенные в соответствии с FIPS 140-2.

Для поддержки клиентов с криптографическими требованиями FIPS доступны проверенные API FIPS как в AWS East/West (коммерческая версия), так и в AWS GovCloud (США). AWS позволяет клиентам открывать безопасные зашифрованные сеансы работы с серверами AWS по протоколу HTTPS (Transport Layer Security [TLS]).

Некоторые сервисы AWS предлагают в некоторых регионах адреса, поддерживающие проверку согласно Федеральному стандарту обработки информации (FIPS). В отличие от стандартных адресов AWS, адреса FIPS используют программную библиотеку TLS, соответствующую требованиям FIP 140-3. Использование адресов FIPS потребуется для соответствия требованиям CJIS для CJI in Transit. Список адресов FIPS см. в разделе Адреса FIPS по сервисам.

В соответствии с моделью общей ответственности AWS клиенты должны осуществлять управление локально развернутыми ресурсами, такими как тома дисков Storage Gateway и рабочие станции передачи данных Snowball, согласно требованиям CJIS, в том числе относительно изоляции данных и доступа к ним.

Клиенты должны настроить корзины хранилища S3 для Snowball и Storage Gateway в AWS в соответствии с требованиями CJIS, в том числе обеспечить шифрование данных при хранении.
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »