Специалисты ФБР осознают, что большинству вендоров будет крайне сложно
добиться соответствия этим требованиям, они настаивают на том, что компромиссов
в деле информационной безопасности быть не может.
«ФБР будет использовать в своей деятельности новые технологии, но не в ущерб
безопасности информации, которую бюро доверили», — говорит Стивен Фишер,
представитель отдела ФБР CJIS.
Это требование обнародовано два месяца спустя после отмены миграции
Полицейского департамента Лос-Анджелеса в Google Apps. Потому что
облачные сервисы Google не отвечают требованиям безопасности CJIS.
В то время департамент юстиции США отметил, что эти требования в принципе не
совместимы с облачными вычислениями. Этот постулат поддержали и в Google,
говоря, что требования представляют собой уникальный вызов облачным
вендорам.
База данных ФБР – самая большая в мире база криминальных дел и отпечатков
пальцев. Доступ к ней разрешен всем правозащитным организациям по всей стране,
которые соответствуют требованиям безопасности. В частности, все данные, как
хранящиеся, так и передаваемые, должны быть зашифрованы, а тот, кто получает
доступ к ним, тщательно проверяется ФБР.
«Политики безопасности отдела CJIS совместимы с облачными сервисами, и
проверены и одобрены местными и федеральными агентствами США и Канады», —
говорит Фишер. Но тут же отмечает, что «эти требования могут быть довольно
сложными для отдельных вендоров».
Одним из самых сложных требований является необходимость идентифицировать
всех администраторов системы, базы данных, безопасности и сети, которые имеют
доступ к информации. Также сложным является проверка по отпечаткам пальцев всех
администраторов с доступом к юридическим данным. Кроме того, большие вендоры,
например, Google имеют дата центры за пределами США.
Фишер отметил, что «отдельные правила могут оказаться сложными для вендоров
только в связи с количеством и географической распределенностью их персонала.
Однако, эти требования не новы для тех вендоров, которые работают с
правозащитными организациями, и те вендоры успешно справляются со всеми
политиками».
Джефф Гулд, CEO исследовательской ИТ компании Peerstone Research, говорит,
что эти требования будут сложны для компаний, чей основной бизнес –
предоставление сервисов клиентам.
Несколько маленьких провайдеров предоставляют облачные сервисы, которые
удовлетворяют требованиям CJIS. Сервисы от этих компаний дороже, чем цены
больших вендоров, таких как Google, но зато эти компании инвестируют в
разработки, которые удовлетворяют все требования ФБР. Кроме того, эти политики
были пересмотрены в сторону их облегчения.
«Старые требования были написаны до того, как изобрели облачные вычисления,
— говорит Гулд. – Поэтому CJIS 5.0 позволяет облачным вендорам делать свое
дело».