Специалисты ФБР осознают, что большинству вендоров будет крайне сложно добиться соответствия этим требованиям, они настаивают на том, что компромиссов в деле информационной безопасности быть не может.
«ФБР будет использовать в своей деятельности новые технологии, но не в ущерб безопасности информации, которую бюро доверили», - говорит Стивен Фишер, представитель отдела ФБР CJIS.
Это требование обнародовано два месяца спустя после отмены миграции Полицейского департамента Лос-Анджелеса в Google Apps. Потому что облачные сервисы Google не отвечают требованиям безопасности CJIS.
В то время департамент юстиции США отметил, что эти требования в принципе не совместимы с облачными вычислениями. Этот постулат поддержали и в Google, говоря, что требования представляют собой уникальный вызов облачным вендорам.
База данных ФБР – самая большая в мире база криминальных дел и отпечатков пальцев. Доступ к ней разрешен всем правозащитным организациям по всей стране, которые соответствуют требованиям безопасности. В частности, все данные, как хранящиеся, так и передаваемые, должны быть зашифрованы, а тот, кто получает доступ к ним, тщательно проверяется ФБР.
«Политики безопасности отдела CJIS совместимы с облачными сервисами, и проверены и одобрены местными и федеральными агентствами США и Канады», - говорит Фишер. Но тут же отмечает, что «эти требования могут быть довольно сложными для отдельных вендоров».
Одним из самых сложных требований является необходимость идентифицировать всех администраторов системы, базы данных, безопасности и сети, которые имеют доступ к информации. Также сложным является проверка по отпечаткам пальцев всех администраторов с доступом к юридическим данным. Кроме того, большие вендоры, например, Google имеют дата центры за пределами США.
Фишер отметил, что «отдельные правила могут оказаться сложными для вендоров только в связи с количеством и географической распределенностью их персонала. Однако, эти требования не новы для тех вендоров, которые работают с правозащитными организациями, и те вендоры успешно справляются со всеми политиками».
Джефф Гулд, CEO исследовательской ИТ компании Peerstone Research, говорит, что эти требования будут сложны для компаний, чей основной бизнес – предоставление сервисов клиентам.
Несколько маленьких провайдеров предоставляют облачные сервисы, которые удовлетворяют требованиям CJIS. Сервисы от этих компаний дороже, чем цены больших вендоров, таких как Google, но зато эти компании инвестируют в разработки, которые удовлетворяют все требования ФБР. Кроме того, эти политики были пересмотрены в сторону их облегчения.
«Старые требования были написаны до того, как изобрели облачные вычисления, - говорит Гулд. – Поэтому CJIS 5.0 позволяет облачным вендорам делать свое дело».
Написать комментарий