Если вы открываете или ведете бизнес и в качестве подрядчика правительственных или правоохранительных органов работаете с информацией уголовного правосудия (CJI), вы, скорее всего, знаете о соответствии стандартам CJIS.

Если нет, эта статья поможет вам понять, что такое соответствие стандартам CJIS, кому это необходимо и как вы можете получить доступ к инструментам и сервисам, ориентированным на конфиденциальность, чтобы ваш бизнес соответствовал этим стандартам.

Что такое CJIS?

Политика безопасности CJIS(новое окно) — это набор стандартов безопасности, разработанных подразделением Службы информации уголовного правосудия(новое окно) (CJIS) ФБР(новое окно). Они были созданы для защиты CJI на каждом этапе жизненного цикла данных — от сбора и хранения до обмена ими и удаления.

Соответствие стандартам CJIS необходимо не только организациям, базирующимся в США, но и международным компаниям, которые работают с правоохранительными органами или правительственными учреждениями США. Соблюдение политики безопасности CJIS стало отраслевым стандартом для компаний, которые обрабатывают, хранят или используют CJI.

Какие данные включают в себя CJIS?

Существует множество типов информации, подпадающих под политику CJIS:

  • Биометрические данные: данные, полученные на основе физических или поведенческих черт (например, отпечатки ключа, распознавание лиц), которые идентифицируют личность.
  • Данные об истории личности: текстовые данные, связанные с биометрическими данными. Эти личные данные часто используются для составления истории преступной деятельности.
  • Биографические данные: информация, привязанная к конкретному делу, но не обязательно связанная с личными данными человека.
  • Данные об имуществе: информация о транспортных средствах и имуществе, связанных с инцидентом.
  • История дела/инцидента: криминальное прошлое человека.
  • Личная информация (PII): любая информация, которая может быть использована для идентификации человека, включая имена, номера социального страхования и биометрические записи.

Если государственные, местные или федеральные правоохранительные органы получают доступ к информации уголовного правосудия через ФБР, на протяжении всего ее жизненного цикла должны применяться соответствующие меры контроля.

Кто должен соответствовать стандартам CJIS?

Любая организация, которая обрабатывает CJI, включая правоохранительные органы, частных подрядчиков и поставщиков облачных услуг, должна соблюдать стандарты CJIS.

Хотя в первую очередь это требование ФБР, соответствие стандартам CJIS фактически стало отраслевым стандартом из-за конфиденциального характера всех задействованных данных. Даже если организация не работает с ФБР напрямую, но обрабатывает CJI, она должна соблюдать стандарты CJIS, чтобы продолжать деятельность без последствий.

Это распространяется на системы данных, резервные копии, сети и устройства (например, принтеры), взаимодействующие с CJI, — все они должны быть защищены в соответствии с рекомендациями CJIS.

Компания может понести федеральные и государственные гражданские и уголовные наказания за ненадлежащее получение доступа или распространение данных CJIS. Эти санкции могут включать штрафы, а также приостановку, отзыв или мониторинг доступа к CJIS(новое окно).

Важно отметить, что информация, собираемая любым государственным органом, который накапливает, обрабатывает или использует информацию уголовного правосудия (CJI), не подлежит контролю CJIS, пока она не будет передана в систему Национального обмена данными (N-DEx)(новое окно).

Однако после передачи информация должна соответствовать стандартам CJIS. N-DEx является ключевой системой для обмена информацией уголовного правосудия между ведомствами, что позволяет управлять этими данными безопасно и единообразно.

Подразделение аудита (CAU) Службы информации уголовного правосудия (CJIS) защищает целостность информации уголовного правосудия путем проведения аудита ведомств, использующих системы и программы CJIS. К таким ведомствам относятся(новое окно):

  • Государственные CSA и репозитории
  • Офис государственной программы UCR
  • Федеральные CSA
  • Федерально регулируемые ведомства
  • Ведомства на территории США с подключением к глобальной сети (WAN)
  • Одобренные ФБР посредники (подрядчики, выбранные ФБР для содействия электронной подаче отпечатков ключей для проверок биографических данных в гражданских целях от имени авторизованного получателя)
  • Авторизованные получатели информации о судимостях
  • Реестры лиц, совершивших преступления на сексуальной почве
  • Поставщики личных данных для портала правоохранительных органов (LEEP)
  • Любые подразделения ФБР

Шифрование — ключ к соответствию стандартам CJIS

Чтобы получить доступ к базам данных CJIS, организации должны соблюдать ряд стандартов безопасности, включая внедрение многофакторной аутентификации (MFA) для верификации пользователей, поддержание строгого контроля доступа для ограничения круга лиц, которые могут просматривать или изменять конфиденциальные данные, и обеспечение мер физической безопасности для защиты систем и устройств, обрабатывающих CJI.

Однако именно шифрование является ключом к соответствию стандартам CJIS.

Что такое шифрование?

Шифрование — это способ скрыть информацию так, чтобы никто, кроме тех, для кого она предназначена, не мог получить доступ к ней. Это делается с помощью компьютерных программ, использующих математические алгоритмы для блокировки и разблокировки информации.

В политике безопасности CJIS есть два раздела, в которых прямо упоминается шифрование:

  • Раздел 5.10.1.2.1: когда CJI передается за пределы физически безопасного местоположения, данные должны быть немедленно защищены с помощью шифрования. При использовании шифрования используемый криптографический модуль должен быть сертифицирован по стандарту FIPS 140-2 и использовать симметричный ключ шифрования силой не менее 128 бит для защиты CJI.
  • Раздел 5.10.1.2.2: когда CJI находится в состоянии покоя (т. е. сохранено в цифровом виде) за пределами физически безопасного местоположения, данные должны быть защищены с помощью шифрования. При использовании шифрования ведомства должны либо зашифровать CJI в соответствии со стандартом в разделе 5.10.1.2.1 выше, либо использовать симметричный шифр, сертифицированный по стандарту FIPS 197 (AES), силой не менее 256 бит.

Шифрование помогает обеспечить защиту CJI как при хранении, так и при передаче. К сожалению, многие онлайн-сервисы, например для облачного хранения и электронной почты, не используют сквозное шифрование по умолчанию, что делает данные уязвимыми во время передачи.

Мы создали Proton в 2014 году, чтобы удовлетворить эту потребность. Разработанный учеными, познакомившимися в CERN (Европейская организация по ядерным исследованиям) в Швейцарии, Proton защищает конфиденциальные электронные письма, файлы, пароли и другие данные с помощью надежного сквозного шифрования, при этом сервис прост в использовании для любого человека. Сегодня более 100 миллионов пользователей, включая правительства, военные подразделения и компании из списка Fortune 500, доверяют Proton защиту своей информации и соблюдение стандартов защиты данных.

Защитите свои данные с помощью Proton

Отправляете ли вы информацию через Proton Mail, храните ли файлы в Proton Drive или управляете учетными данными с помощью Proton Pass, Proton обеспечивает безопасность ваших данных и их защиту от несанкционированного доступа.

Конфиденциальность по умолчанию

Когда вы используете Proton Mail, письма, отправляемые внутри вашей организации, по умолчанию зашифрованы сквозным методом. Это означает, что сообщения и вложения блокируются на вашем устройстве перед передачей на наши серверы и могут быть разблокированы и прочитаны только получателем. Для писем на аккаунты, не относящиеся к Proton Mail, вы можете отправлять защищенные паролем электронные письма, а для автоматической защиты входящих писем применяется шифрование с нулевым доступом.

В любом случае сообщения на наших серверах всегда зашифрованы. Это означает, что даже в случае взлома сервера электронные письма вашей компании останутся защищенными и нечитаемыми ни для кого, кроме вас, что оберегает вашу конфиденциальную информацию от кибератак.

Для Proton математически невозможно расшифровать ваши сообщения, файлы и многие виды метаданных. (Узнайте, что именно шифруется.) А поскольку Proton базируется в Швейцарии, тот небольшой объем собираемых о вас данных защищен швейцарскими законами о конфиденциальности и не подлежит запросам иностранных правоохранительных органов.

Защита от хакеров

У Proton также есть несколько уровней защиты от потенциальных кибератак:

  • PhishGuard: Фильтр Proton PhishGuard разработан для выявления и пометки попыток фишинга. При обнаружении фишинговой атаки вы увидите предупреждение.
  • Двухфакторная аутентификация (2FA): Proton Mail предлагает безопасность, выходящую за рамки простого пароля, с помощью двухфакторной аутентификации (2FA). Proton поддерживает несколько методов 2FA, включая приложения для аутентификации и физические ключи безопасности, что позволяет вам выбрать наиболее удобный и безопасный вариант. С тарифом Proton для бизнеса администраторы также могут сделать 2FA обязательной для своих организаций, чтобы усилить безопасность среди сотрудников.
  • Proton Sentinel: это передовая программа защиты аккаунтов от Proton, которая доступна в тарифах Proton Mail Professional и Proton Business Suite. Она разработана для обеспечения максимальной безопасности тех, кому это необходимо, путем сочетания ИИ и человеческого анализа. Это особенно полезно, если вы — руководитель или человек, работающий с конфиденциальными данными и перепиской. Proton Sentinel предлагает поддержку в режиме 24/7 для передачи подозрительных попыток входа аналитикам по безопасности.

Соблюдайте нормативные требования вместе с Proton

Наша цель — перестроить интернет так, чтобы люди и организации могли сами контролировать свои данные.

Перейти на Proton Mail просто с нашей функцией Easy Switch, позволяющей плавно перенести все электронные письма, контакты и календари вашей организации из других сервисов без необходимости обучения вашей команды.

Наша служба поддержки также готова помочь вам круглосуточно, если вам понадобится дополнительная помощь. Proton Mail, наша электронная почта со сквозным шифрованием, и Proton Drive, наш сервис для облачного хранения со сквозным шифрованием, позволяют легко соответствовать требованиям к защите данных и конфиденциальности.

Использование Proton for Business дает дополнительные преимущества, в том числе:

  • Proton Mail: защитите деловую переписку с помощью электронной почты со сквозным шифрованием, гарантируя, что только вы и ваши получатели сможете прочитать сообщения.
  • Proton VPN: обеспечьте безопасность интернет-подключения и защитите свою онлайн-активность с помощью высокоскоростного VPN.
  • Proton Calendar: управляйте своим графиком с помощью зашифрованного календаря, который сохранит ваши деловые события в тайне.
  • Proton Pass: надежно храните пароли и управляйте ими с помощью нашего зашифрованного менеджера паролей.
  • Proton Drive: надежно храните и делитесь рабочими файлами со сквозным шифрованием, гарантируя, что ваши данные останутся конфиденциальными и защищенными.
Получить Proton for Business

Перенося свой бизнес в экосистему Proton, вы одновременно защищаете себя и доверенные вам данные, соблюдаете нормативные требования и помогаете строить будущее, где конфиденциальность является стандартом по умолчанию.