Services d'information sur la justice pénale (CJIS)

L'attestation CJIS est la seule évaluation de conformité autorisée pour les prestataires de services du secteur de l'application de la loi et offre le plus haut niveau d'assurance à vos clients.

Les modules comprennent:

  • Plan de sécurité du système CJIS (SSP)
  • Rapport d'évaluation de la sécurité du CJIS (SAR)
  • Plan d'action et jalons (POA&M)
  • Catégorisation de la norme fédérale de traitement de l'information (FIPS) 199
  • Préambule des services d'information sur la justice pénale (CJIS)
  • Index des services d'information sur la justice pénale (CJIS)
  • Contrôle d'accès aux services d'information sur la justice pénale (CJIS)
  • Sensibilisation et formation aux techniques d'information sur la justice pénale (CJIS)
  • Audit et responsabilité des services d'information sur la justice pénale (CJIS) de l'UA
  • Certification, accréditation et évaluation de sécurité des CA des services d'information sur la justice pénale (CJIS)
  • Gestion de la configuration CM des services d'information sur la justice pénale (CJIS)
  • Planification d'urgence des services d'information sur la justice pénale (CJIS)
  • Services d'information sur la justice pénale (CJIS) Identification et authentification des IA
  • Réponse aux incidents d'IR des services d'information sur la justice pénale (CJIS)
  • Maintenance MA des services d'information sur la justice pénale (CJIS)
  • Services d'information sur la justice pénale (CJIS) MP Protection des médias
  • Services d'information sur la justice pénale (CJIS) PE Protection physique et environnementale
  • Planification des services d'information sur la justice pénale (CJIS)
  • Gestion du programme PM des services d'information sur la justice pénale (CJIS)
  • Service d'information sur la justice pénale (SIPJ) Sécurité du personnel
  • Évaluation des risques RA des services d'information sur la justice pénale (CJIS)
  • Acquisition du système et des services d'information sur la justice pénale (CJIS) SA
  • Services d'information sur la justice pénale (CJIS) Protection du système et des communications SC
  • Système d'information sur la justice pénale (CJIS) et intégrité des informations

Les services d’information sur la justice pénale (CJIS) sont-ils faits pour vous ?

Les forces de l'ordre et les services de renseignement ont besoin d'accéder à cette base de données nationale, constamment utilisée pour les enquêtes, les vols de biens, les disparitions de personnes, les analyses criminelles et autres informations provenant du FBI. Les Services d'information sur la justice pénale (CJIS) donnent accès à ces données sensibles, garantissant ainsi que votre organisation applique les protocoles de sécurité et de confidentialité les plus stricts.

Les agences locales, étatiques et fédérales utilisent des CJI et ses contrôles de sécurité pour empêcher les violations de données lorsqu'ils exploitent ces systèmes d'information. Ceci est particulièrement important si vous travaillez avec des systèmes internationaux de justice pénale et des agences connexes.

Solutions de cybersécurité multisectorielles

Le CJIS exige diverses pratiques et contrôles de cybersécurité. L'authentification forte, le chiffrement, le contrôle d'accès limité, la sécurité physique des équipements et la sécurité du personnel ne sont que quelques-uns des éléments de la conformité au CJIS. Des plans de détection et de réponse aux incidents font également partie des exigences du CJIS au sein des organisations.

Évaluer la position de votre organisation par rapport à ces nombreuses exigences en matière de cybersécurité peut prendre du temps. Continuum GRC Évaluer, auditer et mettre en œuvre des solutions peut simplifier le processus de conformité au CJIS. Travailler avec des services d'information judiciaire hautement sensibles nécessite une surveillance et des tests continus pour garantir la sécurité et la conformité aux normes en constante évolution.

(CJIS) Liste de contrôle des services d'audit de conformité des services d'information sur la justice pénale

Un audit de conformité CJIS couvre divers éléments, allant de la surveillance des réseaux et de la sécurité globale des appareils à la documentation complète, en passant par la formation du personnel, les tests et la tenue de journaux détaillés. Les exigences de conformité CJIS sont strictes et en constante évolution. Faire appel à un groupe tiers expérimenté et certifié, chargé des éléments de la liste de contrôle nécessaires à la réussite d'un audit, peut grandement faciliter ce processus.

Continuum GRC est spécialisé dans l'aide aux agences de justice pénale à développer et à établir une posture approfondie de cybersécurité pour accéder et travailler avec des informations sensibles liées à l'application des lois et à la criminalité. Nos solutions rationalisent le processus de conformité audit nécessaire mais complexe.

Nos services CJIS

Continuum GRC est un expert en gestion des risques et en audit, spécialisé dans l'accompagnement des organisations pour se conformer aux exigences de sécurité les plus strictes. En collaboration avec Criminal Justice Information Services, nous vous accompagnons tout au long du processus d'audit rigoureux, en effectuant toutes les évaluations et tests initiaux, en formulant des recommandations et en vous aidant à les mettre en œuvre pour atteindre (et maintenir) la conformité.

Les CJI impliquent des informations extrêmement sensibles liées au système judiciaire; Avoir une forte posture de sécurité est essentiel pour y accéder, surtout si des partenaires internationaux sont impliqués. Nous vous aiderons à couvrir tous les aspects pour assurer et maintenir une position de conformité robuste.

Qu'attendez-vous?

QFP

Les systèmes CJIS nécessitent une sécurité renforcée. L'audit examinera les méthodes de chiffrement, les contrôles d'accès, la surveillance du réseau et la sécurité de l'accès physique aux systèmes et aux appareils associés. Il examinera également les pratiques d'authentification multifacteur. Les politiques et procédures sont examinées, notamment en ce qui concerne le partage de données et la réponse aux incidents de sécurité.

Afin de garantir le respect de la politique de sécurité, des audits formels du CJIS sont effectués tous les trois ans.

Ceux-ci sont généralement réalisés par le FBI, soit par une agence de CJI au niveau de l'État. Cependant, c'est une bonne idée de faire des auto-évaluations annuelles pour rester au courant des mesures de sécurité et de documentation requises autour de la conformité des CJI.

Effectuez une analyse pour examiner votre posture de sécurité existante et mettre en œuvre tous les contrôles nécessaires. Documentez ces étapes (et entretenez cette documentation, comme les journaux et les événements de sécurité) et former votre personnel à tout nouveau protocole. Enfin, contactez le continuum GRC pour vous guider à travers un audit plus détaillé.

Les fournisseurs tiers ayant un type d'accès aux informations sur le système judiciaire sensible bénéficieront de montrer qu'ils sont en conformité avec les demandes de sécurité requises par les CJIS. Le fait de subir un audit démontre leur engagement envers la sécurité des données comme moyen d'éviter les dommages de réputation et les conséquences juridiques potentielles.

Oui. Si un fournisseur de services cloud stangez, traite ou transmet toutes les données liées au système de justice pénale, elle doit être conforme aux demandes de sécurité des CJI. Il s'agit de données hautement sensibles qui doivent avoir un profil de haute sécurité. Le continuum GRC peut garantir que vos systèmes, réseaux, procédures et plus s'alignent sur ces exigences.

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

Téléchargez notre brochure d'entreprise.

À propos de cette norme

Le Services d'information sur la justice pénale (CJIS) La politique de sécurité, établie par le Federal Bureau of Investigation (FBI), fournit un cadre pour protéger les données sensibles. Information sur la justice pénale (CJI), telles que les empreintes digitales, les antécédents criminels et les dossiers judiciaires. Elle garantit la confidentialité, l'intégrité et la disponibilité (CIA) du CJIS pour les forces de l'ordre, la sécurité nationale et les organismes non judiciaires autorisés. Vous trouverez ci-dessous un aperçu de la conformité de la politique de sécurité du CJIS, basée sur sa structure, son objectif et ses exigences, intégrant les informations pertinentes provenant des sources fournies.

Objectif de la politique de sécurité du CJIS

La politique de sécurité du CJIS vise à :

  • Protéger les CJI sensibles contre les accès non autorisés, les violations et les cybermenaces.
  • Normaliser les pratiques de sécurité dans les agences fédérales, étatiques, locales et autorisées non liées à la justice pénale qui traitent des CJI.
  • Assurer la conformité avec les lois fédérales, les directives du FBI et les directives du National Institute of Standards and Technology (NIST), en particulier NIST 800-53.
  • Faciliter le partage sécurisé des données parmi les organismes de justice pénale pour soutenir les opérations d’application de la loi et la sécurité publique.

Principales caractéristiques de la politique de sécurité du CJIS

  1. Structure et portée:
    • La dernière version, Politique de sécurité du CJIS v6.0 (sorti le 27 décembre 2024), comprend 13 domaines politiques avec des exigences et des contrôles de sécurité spécifiques, mappés sur près de 500 contrôles NIST 800-53 rev. 5.
    • S'applique à Information sur la justice pénale (CJI), qui comprend des données biométriques (par exemple, des empreintes digitales, des scans d'iris), des antécédents criminels, des informations personnelles identifiables (PII), des données sur les cas/incidents, des mandats, etc.
    • Couvre les organisations accédant au CJI, y compris les organismes chargés de l'application de la loi, les tribunaux, les procureurs, les entrepreneurs gouvernementaux, les fournisseurs de services informatiques, les fournisseurs de cloud et les agences de justice non pénale disposant d'un accès autorisé.
  2. 13 domaines politiquesLa politique de sécurité du CJIS est structurée en 13 domaines, chacun abordant un aspect essentiel de la sécurité de l'information. Les principales exigences sont les suivantes :
    • Accords d'échange d'informations:Accords formels définissant les rôles, les responsabilités et les mesures de sécurité pour le partage des CJI.
    • Formation sur la sensibilisation à la sécurité:Formation obligatoire pour tout le personnel manipulant des CJI, couvrant les menaces telles que le phishing et les protocoles de traitement des données, avec une formation initiale dans les six mois et une formation de recyclage tous les deux ans.
    • Réponse aux incidents:Plans documentés pour détecter, signaler, atténuer et récupérer les incidents de sécurité, y compris les notifications de violation.
    • Audit et responsabilité: Journalisation d'audit complète de l'accès CJI, avec des journaux conservés pendant au moins un an et des examens réguliers pour détecter les activités non autorisées.
    • Contrôle d'Accès: Accès basé sur les rôles, principes de moindre privilège et fin de session après inactivité.
    • Identification et authentification:Authentification forte, y compris l'authentification multifacteur (MFA) et les mots de passe complexes (15 caractères et plus).
    • Configuration Management:Configurations de base documentées, procédures de contrôle des modifications et personnel autorisé pour les modifications du système.
    • Protection des médias: Stockage sécurisé, cryptage et élimination des supports physiques et numériques contenant des CJI.
    • Protection physique:Installations sécurisées avec contrôles d’accès (par exemple, badges, biométrie) et systèmes de surveillance.
    • Protection des systèmes et des communications:Cryptage validé FIPS 140-2 pour les données en transit et AES-256 pour les données au repos, ainsi que des contrôles de sécurité réseau tels que des pare-feu.
    • Audits formels: Audits triennaux par le FBI ou des agences d'État pour vérifier la conformité, avec des auto-audits recommandés entre les deux.
    • Protection des Personnes:Vérifications des antécédents, y compris le contrôle par empreintes digitales, et révocation de l'accès en cas de licenciement.
    • Appareils mobiles:Cryptage, capacités d'effacement à distance et sécurité des communications sans fil pour les appareils accédant à CJI.
  3. Audit et vérification de la conformité:
    • La conformité est vérifiée par audits triennaux par l'unité d'audit CJIS du FBI ou par les représentants de l'agence des systèmes CJIS de l'État.
    • Les organisations doivent mener auto-audits et maintenir la documentation, y compris les journaux d’audit, les rapports de sécurité du système et les plans de réponse aux incidents.
    • Le non-respect peut entraîner la perte d'accès aux systèmes du FBI (par exemple, NCIC), des amendes pouvant aller jusqu'à 50,000 XNUMX $ par violation, une responsabilité juridique, des preuves compromises et des dommages à la réputation.
  4. Transparence et responsabilité:
    • Les organisations doivent fournir des descriptions détaillées du système, y compris les emplacements des données et les détails des sous-traitants.
    • La politique exige une surveillance continue, une évaluation des risques en temps réel et des évaluations indépendantes pour certains contrôles (par exemple, CA-2(1) dans la version 6.0).

Les exigences de conformité

Pour atteindre et maintenir la conformité CJIS, les organisations doivent :

  • Comprendre et mettre en œuvre les domaines politiques:
    • Adopter des contrôles dans les 13 domaines, adaptés au rôle de l'organisation et à la gestion des CJI (par exemple, cryptage, MFA, contrôles d'accès).
  • Effectuer des évaluations des risques:
    • Identifier les vulnérabilités des systèmes, des réseaux et des processus gérant le CJI et combler les lacunes.
  • Former le personnel:
    • Assurer une formation initiale et continue sur les pratiques de sécurité du CJIS, avec des vérifications des antécédents du personnel accédant au CJI.
  • Mettre en œuvre le suivi et l’audit:
    • Configurez des pistes d'audit, consultez régulièrement les journaux et signalez les activités suspectes. La surveillance continue est désormais une exigence standard dans la version 6.0.
  • Préparez-vous aux audits:
    • Effectuez des auto-audits, conservez la documentation et planifiez des audits externes pour valider la conformité.
  • Restez à Jour avec la newsletter Reeviera:
    • Vérifiez régulièrement les mises à jour des politiques (par exemple, via le site Web du CJIS) et ajustez les systèmes pour les aligner sur les changements, tels que les nouveaux contrôles de la version 6.0.
  • Collaborez avec des fournisseurs conformes:
    • Assurez-vous que les fournisseurs tiers (par exemple, les services cloud) signent l'addendum de sécurité CJIS et respectent les normes de conformité.

CJIS en pratique

  • Adoption:Obligatoire pour les organismes chargés de l'application de la loi, les tribunaux, les procureurs et toute entité accédant au CJI, y compris les entrepreneurs privés, les fournisseurs informatiques et les fournisseurs de cloud.
  • Principales mises à jour de la version 6.0 (décembre 2024):
    • Renforcer la compréhension évaluation et suivi avec des évaluateurs indépendants et une surveillance des risques en temps réel (CA-2(1), CA-7(4)).
    • Renforcement sécurité du personnel avec des vérifications d'antécédents et des accords d'accès mis à jour.
    • Agencement des gestion des risques de la chaîne d'approvisionnement pour garantir un approvisionnement sécurisé et une surveillance des fournisseurs.
    • Obligatoire MFA sur tous les appareils accédant à CJI, avec une gestion des mots de passe mise à jour (par exemple, listes de mots de passe interdits).
    • Suppression des annexes redondantes (J et K) pour rationaliser la politique.
  • Intégration avec d'autres normes:
    • Aligne avec NIST800-53 contrôles de niveau modéré, facilitant la conformité pour les organisations adhérant déjà aux normes NIST.
    • Prend en charge des frameworks tels que ISO 27001 FedRAMP par le biais de mappages de contrôle.
  • Ressources:
    • Programme ISO CJIS du FBI: Fournit des documents d’orientation et de cartographie.
    • Autorités CJIS de l'État:Offrir des ressources et des formations spécifiques à chaque État.
    • Les programmes de formation:Disponible auprès d'organisations telles que l'IACP et l'IJIS Institute.
    • Subventions:Le financement fédéral et étatique peut compenser les coûts de conformité.

Défis

  • Contraintes de ressources:Les petites agences peuvent avoir des difficultés à disposer des ressources financières et humaines nécessaires pour mettre en œuvre les contrôles.
  • Complexité technique:L’intégration de nouveaux contrôles dans les systèmes existants peut s’avérer difficile.
  • Conformité des fournisseurs:S’assurer que les fournisseurs tiers respectent les normes CJIS nécessite une surveillance continue.
  • Exigences en matière de formation:Une formation régulière pour tout le personnel, y compris le personnel non informatique, nécessite beaucoup de ressources.

Comment les organisations peuvent utiliser CJIS

  • Agences et organisations:
    • Mettez en œuvre des contrôles en commençant par les exigences de priorité 1 (P1), telles que l’authentification multifacteur et le chiffrement, qui sont immédiatement vérifiables.
    • Utilisez des outils comme Continuum GRC pour la gestion et l'archivage des preuves conformes au CJIS.
  • Fournisseurs et entrepreneurs:
    • Signez le Addendum de sécurité du CJIS et aligner les systèmes (par exemple, les plateformes cloud comme AWS GovCloud) avec les exigences du CJIS.
    • Assurer la transparence sur le traitement des données et se soumettre à des audits réguliers.
  • Comptes:
    • Utilisez les mappages de contrôle CJIS selon la norme NIST 800-53 pour effectuer des audits cohérents.
    • Vérifier la conformité au moyen d’audits triennaux et examiner les plans de remédiation.

Conclusion

La politique de sécurité du CJIS v6.0 fournit un cadre robuste et standardisé pour sécuriser le CJI, garantissant confidentialité, intégrité et disponibilité dans un large éventail d'organisations. Ses 13 domaines stratégiques, ses contrôles actualisés (par exemple, l'authentification multifacteur obligatoire, la surveillance en temps réel) et sa conformité à la norme NIST 800-53 en font un outil essentiel pour la protection des données sensibles de la justice pénale. La conformité exige des efforts continus, notamment des évaluations des risques, des formations, des audits et la coordination des fournisseurs. Le non-respect de cette politique entraîne de lourdes sanctions, notamment la perte d'accès aux bases de données critiques et des conséquences juridiques. Les organisations peuvent s'appuyer sur les ressources du FBI, les autorités des États et les fournisseurs conformes pour atteindre et maintenir la conformité. Pour des conseils détaillés, consultez la politique de sécurité du CJIS sur le site web du FBI ou contactez les représentants du CJIS des États.

Des avantages incroyables

Vignette YouTubeYouTube icône