Articles

Was ist ITAR Compliance? Definition und Vorschriften

Die International Traffic in Arms Regulations (ITAR) ist die US-amerikanische Verordnung, die die Herstellung, den Verkauf und den Vertrieb von verteidigungs-und weltraumbezogenen Artikeln und Dienstleistungen gemäß der Definition in der United States Munitions List (USML) kontrolliert.

Neben Raketenwerfern, Torpedos und anderer militärischer Hardware beschränkt die Liste auch die Pläne, Diagramme, Fotos und andere Unterlagen, die zum Bau von ITAR-kontrollierter militärischer Ausrüstung verwendet werden., Dies wird von ITAR als „technische Daten“bezeichnet.

Holen Sie sich den kostenlosen Essential Guide to US Data Protection Compliance and Regulations

ITAR schreibt vor, dass der Zugriff auf physische Materialien oder technische Daten im Zusammenhang mit Verteidigungs-und Militärtechnologien nur US-Bürgern vorbehalten ist. Wie kann ein Unternehmen sicherstellen, dass nur US-Bürger diese Daten in einem Netzwerk haben und dann darauf zugreifen und ITAR-konform sind? Die Beschränkung des Zugriffs auf die physischen Materialien ist unkompliziert; Die Beschränkung des Zugriffs auf digitale Daten ist komplizierter.,

Wer muss der ITAR-Konformität folgen?

Jedes Unternehmen, das Artikel auf der USML verarbeitet, herstellt, entwirft, verkauft oder vertreibt, muss ITAR-konform sein. Die Direktion für Handelskontrollen im Verteidigungsministerium (DDTC) des Außenministeriums verwaltet die Liste der Unternehmen, die mit USML-Waren und-Dienstleistungen handeln können, und es liegt an jedem Unternehmen, Richtlinien zur Einhaltung der ITAR-Vorschriften festzulegen.,

  • Großhändler
  • Distributoren
  • Computersoftware – / Hardwarehersteller
  • Drittanbieter
  • Auftragnehmer

Jedes Unternehmen in der Lieferkette muss ITAR-konform sein. Wenn Firma A ein Teil an Firma B verkauft und Firma B dasselbe Teil an eine ausländische Macht verkauft, verstößt Firma A ebenfalls gegen ITAR.

ITAR-Regelungen

ITAR-Bestimmungen sind einfach: nur US-Bürger können den Zugriff auf Elemente auf der USML-Liste.

Die Regeln von ITAR können für viele US-Unternehmen eine Herausforderung darstellen., Einem in den USA ansässigen Unternehmen mit Auslandsbetrieb ist es untersagt, ITAR-technische Daten an Mitarbeiter weiterzugeben, die vor Ort eingestellt wurden, es sei denn, sie erhalten staatliche Unterstützung. Genehmigung. Das gleiche Prinzip gilt, wenn US-Unternehmen mit Nicht-US-Subunternehmern zusammenarbeiten.

Das Außenministerium kann Ausnahmen von dieser einen Regel erlassen,und es gibt bestehende Ausnahmen für bestimmte Zwecke. Es gibt bestimmte Länder, die derzeit laufende Abkommen mit den USA haben, die für ITAR gelten – Australien, Kanada und Großbritannien zum Beispiel.,

Die US-Regierung verlangt, dass ein dokumentiertes ITAR-Compliance-Programm eingerichtet und implementiert wird, das die Verfolgung, Überwachung und Prüfung technischer Daten umfassen sollte. Mit technischen Daten ist es auch eine gute Idee, jede Seite mit einem ITAR-Hinweis oder Marker zu kennzeichnen, damit Mitarbeiter kontrollierte Informationen nicht versehentlich mit unbefugten Benutzern teilen.

ITAR existiert, um militär – und verteidigungsempfindliches Material zu verfolgen und dieses Material aus den Händen von US-Feinden zu halten., Die Nichteinhaltung kann zu hohen Geldstrafen sowie erheblichen Marken — und Reputationsschäden führen-ganz zu schweigen vom potenziellen Geschäftsverlust für einen konformen Wettbewerber.,

Strafen für Verstöße gegen die ITAR-Compliance


Die Strafen für Verstöße gegen ITAR sind hart:

  • Zivilstrafen bis zu 500,000 USD pro Verstoß
  • Strafstrafen von bis zu 1 Million USD und/oder 10 Jahren Freiheitsstrafe pro Verstoß

Im April 2018 verhängte das State Department eine Geldstrafe von FLIR Systems, Inc $30 Millionen für die Übertragung von USML-Daten an zwei nationale Mitarbeiter. Ein Teil der Strafe erfordert, dass FLIR bessere Compliance-Maßnahmen umsetzt und einen externen Beamten einstellt, der ihre Vereinbarung mit dem Außenministerium überwacht.,

Im Jahr 2007 nahm ITT bei $ 100 Millionen Geldstrafe ins Gesicht für den Export von Nachtsicht-Technologie illegal. ITT dachte, sie könnten die Einschränkungen umgehen, die Regierung stimmte ihrer Interpretation der Regeln nicht zu.

Arten von Verteidigungsartikeln

Es gibt 21 Kategorien von Verteidigungsartikeln in der USML. Ein Verteidigungsartikel steht auf dieser langen und seltsam spezifischen Liste.,nuklearwaffen Verwandte Artikel

  • Klassifizierte Artikel, technische Daten und Verteidigungsdienste Nicht anderweitig aufgezählt
  • Gerichtete Energiewaffen
  • Gasturbinentriebwerke und zugehörige Ausrüstung
  • Tauchschiffe und verwandte Artikel
  • Artikel, technische Daten und Verteidigungsdienste Nicht anderweitig aufgezählt
  • So sichern Sie Ihre Ausrüstung und Ihre Ausrüstung ITAR-Daten

    Angesichts der mit ITAR verbundenen Strafen ist es sinnvoll, die digitalen Daten mit so vielen Sicherheitsebenen wie möglich zu schützen., Da ITAR eine US-Bundesverordnung ist, ist ihre eigene Anleitung für die Datensicherheit ein großartiger Anfang. NIST SP 800-53 definiert die Standards und Richtlinien, denen Bundesbehörden folgen müssen, und jedes Unternehmen, das ITAR-regulierte Materialien verwaltet, sollte NIST SP 800-53 als Basis für seine eigenen Sicherheitsstandards verwenden..,entify Benutzer, Gruppen, Ordner-und Dateiberechtigungen
    Bestimmen, wer Zugriff auf welche Daten hat

  • Zugriffskontrolle verwalten
    Identifizieren und deaktivieren veraltete Benutzer
    Verwalten von Benutzer-und Gruppenmitgliedschaften
    Globale Zugriffsgruppen entfernen
    Implementieren Sie ein Modell mit den geringsten Berechtigungen
  • Überwachen Sie Daten, Dateiaktivitäten und Benutzerverhalten
    Prüfen und Bericht über Datei-und Ereignisaktivitäten
    Überwachen Sie Insider-Bedrohungen, Malware, Fehlkonfigurationen und Sicherheitsverletzungen
    Sicherheitslücken erkennen und beheben
  • ITAR Compliance FAQs

    1. Wie kann Varonis mir helfen, alle meine ITAR Daten zu finden?,
      Die Data Classification Engine identifiziert und klassifiziert regulierte Daten in Ihren Kerndatenspeichern-sowohl vor Ort als auch in der Cloud. Sie können Regeln konfigurieren, um ITAR-Daten zu identifizieren, und sogar benutzerdefinierte Tags, Flags und Notizen auf regulierte Daten anwenden.
    2. Wer kann auf diese ITAR-Daten zugreifen?
      Varonis DatAdvantage crawlt Ihre Dateisysteme, um Berechtigungen für alle Ihre Daten, einschließlich der ITAR-Daten zu analysieren. Zu verstehen, wer auf diese Daten zugreifen kann, ist Schritt eins zum Schutz der Daten vor illegalem Zugriff., Mit DatAdvantage können Sie diese Informationen grafisch in einer übersichtlichen, benutzerfreundlichen Benutzeroberfläche oder als exportierbaren Bericht anzeigen.
    3. Woher weiß ich, ob auf meine ITAR-Daten zugegriffen wird?
      Varonis DatAlert überwacht und löst Warnungen aus, wenn auf Daten zugegriffen wird, einschließlich eines Ordners Ihrer ITAR-Daten. Sie können verdächtiges Verhalten oder ungewöhnliche Aktivitäten in Ihren ITAR-Daten erkennen, kennzeichnen und untersuchen und einen vollständigen Audit-Trail verwalten, um die ITAR-Vorschriften zu erfüllen.
    4. Wie kann ich den Zugriff auf ITAR-Daten verwalten?,
      Die Automation Engine repariert und verwaltet automatisch Dateisystemberechtigungen-hält ITAR-Daten gesperrt und hilft dabei, ein Modell mit den geringsten Berechtigungen zu erreichen. Varonis DataPrivilege hilft bei der Rationalisierung der Zugriffsverwaltung, der automatischen Durchsetzung von Sicherheitsrichtlinien und dem Nachweis der Einhaltung durch staatliche Prüfer.

    Möchten Sie mehr darüber erfahren, wie Sie Ihre ITAR-Daten verwalten, um die Compliance zu erfüllen? Holen Sie sich eine 1:1-Demo mit einem Sicherheitsingenieur, um zu sehen, wie Varonis helfen kann.