Развенчание мифов о службе судебной информации ФБР: лучшие практики в отношении паролей, многофакторной аутентификации и контроля доступа

Представьте, что ваша организация только что выиграла контракт на обработку конфиденциальных данных правоохранительных органов — будь то поставщик облачных услуг, поставщик программного обеспечения или аналитическая фирма. Скоро о CJIS начнут вспоминать.

Вы знаете, что Политика безопасности информационных служб уголовного правосудия ФБР регламентирует, как должны защищаться криминальные истории, отпечатки пальцев и файлы расследований, но за пределами этого все кажется немного непрозрачным.

Независимо от того, являетесь ли вы опытным специалистом по безопасности или новичком в мире данных уголовного правосудия, понимание требований CJIS критически важно. Мы начнём с изучения происхождения и назначения CJIS : почему она существует и почему она важна для каждой организации, которая имеет хоть какое-то отношение к информации уголовного правосудия.

Затем мы уделим особое внимание основам идентификации (паролям, многофакторной аутентификации и строгому контролю доступа) и тому, как беспрепятственно интегрировать эти элементы управления в вашу среду.

Что такое CJIS?

История CJIS берет свое начало в конце 1990-х годов, когда ФБР объединило различные базы данных о преступлениях на уровне штатов и на местном уровне в единую общенациональную систему. Сегодня она служит центром обмена биометрическими данными, криминальными историями и тактической разведывательной информацией между федеральными, штатными, местными и племенными ведомствами.

По сути, политика безопасности CJIS призвана гарантировать, что каждая сторона, работающая с этими данными (как государственные, так и частные подрядчики), придерживается единых стандартов безопасности. Когда вы слышите «CJIS», вы подразумеваете «неразрывную цепочку поставок» — с момента, когда данные покидают мобильный терминал патрульной машины, до их архивации в криминалистической лаборатории.

Кто должен соблюдать?

Можно подумать, что CJIS касается только полицейских управлений, поскольку это политика ФБР. На самом деле, сеть гораздо шире:

Правоохранительные органы (SLTF): каждое государственное, местное, племенное и федеральное агентство, которое хранит или запрашивает информацию в области уголовного правосудия.
Сторонние поставщики и интеграторы: Если ваше программное обеспечение принимает, обрабатывает или хранит данные CJIS (системы управления записями, службы проверки биографических данных, поставщики облачного хостинга), вы подпадаете под действие этой политики.
Многоюрисдикционные оперативные группы: даже временные коалиции, разделяющие доступ между различными агентствами, должны соблюдать правила на протяжении всего периода своего сотрудничества.

Итог: если ваши системы когда-либо обнаружат отпечатки пальцев, досье или журналы отправлений, к ним будут применены меры CJIS.

Ключевые требования

Служба судебной информации (CJIS) охватывает множество областей (физическая безопасность, проверка биографических данных персонала, реагирование на инциденты), но её стержень — управление идентификацией и доступом. Когда ФБР проводит аудит вашей среды, им нужно знать три вещи: кто к чему получил доступ? Как они подтвердили свою личность? И было ли им разрешено это видеть? Давайте разберёмся:

Уникальные идентификаторы и непререкаемая ответственность: у каждого пользователя должен быть свой идентификатор. Универсальные или общие учётные записи запрещены. Это помогает отслеживать действия конкретных людей.
Надёжные пароли : CJIS требует использовать пароли длиной не менее 12 символов, сочетая заглавные и строчные буквы, цифры и специальные символы. Однако в Specops мы рекомендуем пойти дальше и использовать пароли длиной более 16 символов . CJIS также требует соблюдения истории паролей (запрещается повторное использование последних 24 паролей) и блокировать учётные записи после не более чем пяти неудачных попыток.
Многофакторная аутентификация (MFA) как ещё один уровень защиты: одного пароля уже недостаточно. Служба CJIS требует двух факторов для любого неконсольного доступа: что-то, что вы знаете (ваш пароль), и что-то, что у вас есть (аппаратный токен, телефонный аутентификатор и т. д.). Разделение этих факторов значительно снижает риск компрометации учётных данных .
Минимальные привилегии и ежеквартальная ресертификация: предоставляйте каждому пользователю только те разрешения, которые необходимы для выполнения его работы, и не более того. Затем каждые 90 дней собирайте владельцев системы и проверяйте, кому и какие права доступа ещё нужны. Пользователи меняют роли, проекты закрываются, а неактивные учётные записи накапливают риск.
Аудиторские следы и неизменяемые журналы: ведение журнала каждого события аутентификации, изменения привилегий и запроса данных не подлежит обсуждению. CJIS требует не менее 90 дней хранения журналов на объекте и один год вне его. Таким образом, если вам потребуется восстановить картину инцидента или ответить на вопрос аудитора, ваши журналы предоставят полную картину без пробелов.
Шифрование и сегментация сети: данные должны передаваться и храниться под защитой криптографии, сертифицированной по стандарту FIPS: TLS 1.2+ для передаваемых данных, AES-256 для хранения. Помимо шифрования, отделите свою среду CJIS от остальной части корпоративной сети. Межсетевые экраны, VLAN или изолированные анклавы защищают ваши самые важные системы от повседневных операций.

Последствия несоблюдения

Представьте себе: взломанный набор учётных данных делает базу данных CJIS открытой для интернета. Хакер этим пользуется, и в одночасье скомпрометированы отпечатки пальцев и криминальные истории тысяч людей.

Последствия быстры:

Доступ к CJIS приостановлен: ФБР может отключить соединение вашего агентства, остановив расследование.
Нормативный контроль и штрафы: государственные и федеральные органы могут налагать штрафы, а затем могут быть поданы гражданские иски.
Ущерб репутации: известие о взломе подрывает общественное доверие к возможностям вашей компании.

Получите правильный CJIS с помощью сторонних инструментов

Соответствие требованиям — это не просто выставление галочек. Речь идет о глубоком внедрении безопасности в ваши процессы, чтобы вы могли доказать это во время аудита и отражать атаки изо дня в день.

Вот как Specops может упростить вашу работу в CJIS:

Политика паролей Specops упрощает реализацию надёжной политики паролей. Она встраивает правила сложности, ротации и истории паролей, одобренные CJIS, непосредственно в Active Directory. Ваша Active Directory также будет постоянно сканироваться по базе данных, содержащей 4 миллиарда скомпрометированных паролей, уведомляя конечных пользователей о необходимости немедленной смены паролей.
Specops Secure Access выводит вашу MFA на новый уровень с помощью факторов аутентификации, которые менее устойчивы к социальной инженерии и фишингу.
Specops uReset предоставляет пользователям портал самообслуживания (защищённый многофакторной аутентификацией) для безопасной разблокировки учётных записей AD. Каждый сброс регистрируется, имеет метку времени и может быть отчётен, что позволяет пройти аудит без необходимости обращаться в службу поддержки.

У всех этих решений есть общая черта: они согласуются с вашим текущим набором Active Directory, сводят к минимуму административные расходы и предоставляют вам четкие, проверяемые доказательства соответствия элементов управления требованиям CJIS.

Хотите узнать, подходит ли продукция Specops вашей организации? Свяжитесь с нами, и мы организуем демонстрацию .