Krav til CJIS-adgangskoder

Hvad er CJIS?

Criminal Justice Information Services Division (CJIS) er en afdeling af Federal Bureau of Investigation (FBI) i USA, der fastsætter standarder og passende kontrolmekanismer for at beskytte, overføre, gemme og få adgang til strafferetlige oplysninger (CJI). CJIS gør det muligt for politifolk at få adgang til og dele vigtige CJI, herunder biometri, oplysninger om identitetshistorik og sagshistorik. Enhver organisation med adgang til CJI i en hvilken som helst form skal sikre, at den overholder de påbudte CJIS-regler.

Hvilke krav er der til CJIS-adgangskoder?

For at overholde CJIS-reglerne skal organisationer håndhæve de seneste krav til adgangskoder og godkendelse, som fremgår af CJIS Security Policy v5.9.1. Tabellen nedenfor indeholder disse krav og beskriver, hvordan ADSelfService Plus hjælper din organisation med at overholde dem.

CJIS-krav	Beskrivelse af krav	Sådan hjælper ADSelfService Plus med at opfylde kravet
Afsnit 5.5.2.2	Kontrol af adgang til systemet Sørg for at forhindre flere sideløbende sessioner, der er aktive for én brugeridentifikation, for de applikationer, der har adgang til CJI, medmindre myndigheden giver tilladelse på baggrund af operationelle forretningsbehov.	ADSelfService Plus forhindrer en enkelt bruger i at have flere sideløbende aktive sessioner.
Afsnit 5.5.2.2	Kontrol af adgang til systemet Sørg for, at kun autoriseret personale kan tilføje, ændre eller fjerne komponentenheder, opkaldsforbindelser og fjerne eller ændre programmer.	ADSelfService Plus foretager identitetsbekræftelse via stærke godkendelsesfaktorer, før autoriserede brugere får lov til at ændre nødvendige indstillinger i systemet.
Afsnit 5.5.3	Mislykkede loginforsøg I det omfang det er teknisk muligt, skal systemet håndhæve en øvre grænse på højst fem på hinanden følgende ugyldige forsøg på adgang fra en bruger (der forsøger at få adgang til CJI eller systemer med adgang til CJI). Systemet skal automatisk låse kontoen i en periode på ti minutter, medmindre den frigives af en administrator.	Med ADSelfService Plus kan du konfigurere det antal mislykkede forsøg på logon, der er tilladt for brugere inden for et bestemt tidsrum. Du kan også konfigurere låsningens varighed, og om der kræves handlinger fra administratoren for at låse op for brugerne.
Afsnit 5.5.6	Fjernadgang Myndigheden skal godkende, overvåge og kontrollere alle metoder til ekstern adgang til informationssystemet.	ADSelfService Plus tilbyder MFA til sessioner med ekstern adgang, som kan anvendes enten på klient- eller målenhedsniveau. Den anvender stærke godkendere såsom biometri, YubiKey og TOTP'er.
Afsnit 5.6.1	Politik og procedurer for identifikation Hver enkelt person, der er autoriseret til at opbevare, behandle og/eller overføre strafferetlige oplysninger (CJI), skal være entydigt identificeret. En unik identifikation er også påkrævet for alle personer, der administrerer og vedligeholder det/de system(er), der har adgang til CJI eller netværk, der anvendes til overførsel af CJI.	ADSelfService Plus gemmer og identificerer hver bruger unikt og tildeler godkendere individuelt til hver bruger. Den forbyder deling af godkendelsesfaktorer mellem flere brugere.
Grundlæggende standarder for adgangskoder CJIS tilbyder både grundlæggende og avancerede standarder for adgangskoder, der giver organisationer mulighed for at vælge den, der passer bedst til deres behov. Nedenfor kan du se de grundlæggende standarder for adgangskoder, som CJIS har opstillet.
Afsnit 5.6.2.1.1.1	Adgangskoder skal have en minimumslængde på otte tegn i alle systemer.	Med ADSelfService Plus' funktion til håndhævelse af politik for adgangskoder kan du tilpasse minimumslængden for adgangskoder til at være otte tegn eller mere, afhængigt af dine krav. Du kan også tilpasse adgangskodens maksimumslængde efter behov.
Afsnit 5.6.2.1.1.1	Adgangskoder må ikke være et ord i en ordbog eller et egennavn.	Med ADSelfService Plus kan du begrænse brugernes anvendelse af ord i ordbøger, palindromer og forudsigelige mønstre, når de indstiller nye adgangskoder. Ved at integrere med Have I Been Pwned?, der er en database over kompromitterede adgangskoder, sikrer du, at dine brugere ikke angiver svage eller kompromitterede adgangskoder under nulstillinger og ændringer af adgangskoder.
Afsnit 5.6.2.1.1.1	Adgangskoder må ikke være de samme som bruger-id'et.	Med ADSelfService Plus kan du forhindre brugere i at bruge gentagne og fortløbende tegn fra brugernavne og gamle adgangskoder, når de angiver nye adgangskoder.
Afsnit 5.6.2.1.1.1	Adgangskoder skal udløbe inden for højst 90 kalenderdage.	ADSelfService Plus indeholder meddelelser om udløb af adgangskoder, der kan tilpasses, og som kan planlægges til at blive afsendt hver 90. dag for at minde brugerne om, at deres adgangskode snart udløber.
Afsnit 5.6.2.1.1.1	Adgangskoder må ikke være identiske med de foregående ti adgangskoder.	Med ADSelfService Plus kan du angive det antal tidligere adgangskoder, som en bruger ikke må gentage, når vedkommende vælger en ny adgangskode.
Afsnit 5.6.2.1.1.1	Adgangskoder skal ikke vises, når de indtastes.	ADSelfService Plus viser som standard ikke adgangskoder, når de indtastes, men giver brugerne mulighed for at se dem, hvis det er nødvendigt.
Avancerede standarder for adgangskoder Nedenfor kan du se de avancerede standarder for adgangskoder, som CJIS har opstillet.
Afsnit 5.6.2.1.1.2	Adgangskoder skal være på mindst tyve tegn uden yderligere krav til sværhedsgrad (f.eks. accepteres ASCII-tegn, emojis, alle tastaturtegn og mellemrum).	Med ADSelfService Plus kan du tilpasse adgangskodens minimumslængde til at være tyve tegn eller mere, afhængigt af dine krav.
Afsnit 5.6.2.1.1.2	Verifikationsværktøjer til adgangskoder må ikke tillade brug af et gemt "tip" til glemte adgangskoder og/eller bede abonnenter om at bruge bestemte typer oplysninger, når de vælger en adgangskode.	ADSelfService Plus kan konfigureres til ikke at give tips til adgangskoder til brugere under identitetsbekræftelse.
Afsnit 5.6.2.1.1.2	Verifikationsværktøjer skal indeholde en liste over "forbudte adgangskoder", som indeholder de adgangskodekombinationer, der anses for ofte at være anvendte, forventede eller kompromitterede. Listen kan f.eks. omfatte, men er ikke begrænset til: Adgangskoder, der er hentet fra tidligere oversigter over de adgangskoder, der har været den del af et databrud Ord i ordbøger Gentagne eller på hinanden følgende tegn (f.eks. 'aaaaaa', '1234abcd') Kontekstspecifikke ord, såsom navnet på tjenesten, brugernavnet og afledninger heraf Under brugerens anmodning om oprettelse, ændring eller nulstilling af adgangskoder skal verifikationsværktøjer sammenligne potentielle adgangskoder med listen over "forbudte adgangskoder" og rådgive brugerne om at vælge en anden adgangskode, hvis der konstateres et match.	Med ADSelfService Plus kan du begrænse brugernes anvendelse af ord i ordbøger, palindromer, forudsigelige mønstre, gentagne tegn og fortløbende tegn fra brugernavne og gamle adgangskoder, når de angiver nye adgangskoder. Ved at integrere med Have I Been Pwned?, der er en database over kompromitterede adgangskoder, sikrer du, at dine brugere ikke angiver svage eller kompromitterede adgangskoder under nulstillinger og ændringer af adgangskoder.
Afsnit 5.6.2.1.1.2	Verifikationsværktøjer skal gennemtvinge en ændring af adgangskoden hvert år, eller hvis der er tegn på, at en godkender er blevet kompromitteret.	ADSelfService Plus tilskynder ikke til hyppige eller periodiske ændringer af slutbrugeres adgangskoder, men giver administratorer mulighed for at udløse en automatisk handling med nulstilling af adgangskoder for brugere med adgangskoder, der potentielt er blevet kompromitteret.
Afsnit 5.6.2.2	Når brugerbaserede certifikater, såsom smart cards, softwaretokens, hardwaretokens, biometriske systemer og PKI-certifikater (Public Key Infrastructure), bruges til godkendelse, skal de være specifikke for en enkelt bruger og må ikke deles mellem flere brugere.	ADSelfService Plus tildeler godkendelsesfaktorer, såsom sikkerhedstokens, smart cards og PKI-certifikater, entydigt til den enkelte bruger og forbyder deling af dem mellem flere brugere.

Gør det nemmere at overholde CJIS med ADSelfService Plus

ADSelfService Plus tilbyder en effektive indstillinger for politik for adgangskoder og MFA, der sikrer, at din virksomhed overholder CJIS-kravene. Du kan oprette en brugerdefineret politik for adgangskoder, der opfylder alle CJIS-krav, og håndhæve den for alle eller konkrete AD-brugere på baggrund af deres domæne-, OU- eller gruppemedlemskab. Nedenfor kan du se nogle af de indstillinger, som ADSelfService Plus' funktion til håndhævelse af politik for adgangskoder tilbyder:

1. Forbud mod ord i ordbøger og mønstre: Bloker de AD-adgangskoder, der har været en del af en datalækage eller er svage, samt mønstre, ord i ordbøger og palindromer.
2. Begræns tegn fra brugernavne: Begræns konkrete eller gentagne tegn fra et brugernavn.
3. Håndhæv historik for adgangskoder: Sørg for en stærk adgangskode ved at forhindre brugen af tidligere adgangskoder under nulstillinger og ændringer af adgangskoder.
4. Angiv en brugerdefineret længde på adgangskoden: Håndhæv længere adgangskoder for AD-brugere ved at angive adgangskodernes minimumslængde.
5. Øg adgangskodernes sværhedsgrad: Sørg for, at brugerne ikke kan bruge kopiér og indsæt i feltet med adgangskoder. Hjælp brugerne med at vælge stærke adgangskoder via analyseværktøjet til adgangskoders sværhedsgrad, som angiver adgangskodernes sværhedsgrad.
6. Gør MFA obligatorisk for brugerne: Beskyt brugernes adgang til data om kortindehaveren ved at aktivere situationstilpasset MFA til endpoints, såsom enhedslogons, applikationslogons, VPN-logons, RDP-logons og OWA-logons. Vælg mellem 20 forskellige MFA-godkendere, herunder FIDO-adgangsnøgler og biometri for at bekræfte brugernes identitet.

Fordele ved at bruge ADSelfService Plus til at overholde CJIS

• Håndhæv OU- og gruppebaserede politikker: Sørg for en detaljeret håndhævelse af flere politikker for adgangskoder i det samme AD-domæne på baggrund af OU- og gruppemedlemskaber.
• Øget sikkerhed for adgangskoder: Håndhæv adgangskoder med sekvenser af sammenhængende ord og begræns gentagelsen af tegn fra gamle adgangskoder og brugernavne.
• Giv brugerne besked om udløb af adgangskoder: Anvend brugerdefinerede meddelelser om udløb af adgangskoder, og sørg for, at brugerne ændrer deres adgangskoder rettidigt.
• Oprettelse af brugerdefinerede skabeloner: Opret flere politikker for adgangskoder, der overholder PCI DSS-, HIPAA-, NIST SP 800-63B-, SOX- og CJIS-standarderne.