Articles

Cos’è la conformità ITAR? Definizione e regolamenti

L’International Traffic in Arms Regulations (ITAR) è il regolamento degli Stati Uniti che controlla la produzione, la vendita e la distribuzione di articoli e servizi relativi alla difesa e allo spazio come definito nella United States Munitions List (USML).

Oltre a lanciarazzi, siluri e altro hardware militare, l’elenco limita anche i piani, i diagrammi, le foto e altra documentazione utilizzata per costruire equipaggiamento militare controllato da ITAR., Questo è indicato da ITAR come “dati tecnici”.

Ottieni la Guida essenziale gratuita per la conformità e le normative sulla protezione dei dati degli Stati Uniti

ITAR impone che l’accesso ai materiali fisici o ai dati tecnici relativi alle tecnologie di difesa e militari sia limitato ai soli cittadini statunitensi. Come può un’azienda garantire che solo i cittadini statunitensi abbiano e quindi accedano a tali dati su una rete e siano conformi a ITAR? Limitare l’accesso ai materiali fisici è semplice; limitare l’accesso ai dati digitali è più complicato.,

Chi deve seguire la conformità ITAR?

Qualsiasi azienda che gestisce, produce, progetta, vende o distribuisce articoli su USML deve essere conforme ITAR. La Direzione dei controlli commerciali della Difesa (DDTC) del Dipartimento di Stato gestisce l’elenco delle aziende che possono trattare beni e servizi USML e spetta a ciascuna azienda stabilire politiche per conformarsi alle normative ITAR.,

  • Grossisti
  • Distributori
  • Fornitori di software/hardware
  • Fornitori di terze parti
  • Appaltatori

Ogni azienda nella catena di fornitura deve essere conforme ITAR. Se la società A vende una parte alla società B e quindi la società B vende la stessa parte a una potenza straniera, anche la società A viola l’ITAR.

Regolamenti ITAR

I regolamenti ITAR sono semplici: solo i cittadini statunitensi possono accedere agli elementi dell’elenco USML.

Le regole di ITAR possono rappresentare una sfida per molte aziende statunitensi., A una società con sede negli Stati Uniti con operazioni all’estero è vietato condividere i dati tecnici ITAR con i dipendenti assunti localmente, a meno che non guadagnino Dipartimento di Stato. autorizzazione. Lo stesso principio si applica quando le aziende statunitensi lavorano con subappaltatori non statunitensi.

Il Dipartimento di Stato può emettere esenzioni a quella regola, e ci sono esenzioni esistenti stabilite per scopi specifici. Ci sono alcuni paesi che attualmente hanno accordi permanenti con gli Stati Uniti che si applicano a ITAR – Australia, Canada e Regno Unito, per esempio.,

Il governo degli Stati Uniti richiede di avere in atto e l’attuazione di un programma di conformità ITAR documentato, che dovrebbe includere il monitoraggio, il monitoraggio e il controllo dei dati tecnici. Con i dati tecnici, è anche una buona idea taggare ogni pagina con un avviso o un marcatore ITAR in modo che i dipendenti non condividano accidentalmente informazioni controllate con utenti non autorizzati.

ITAR esiste per tracciare materiali sensibili militari e di difesa e per tenere quel materiale fuori dalle mani dei nemici degli Stati Uniti., La non conformità può comportare pesanti multe insieme a danni significativi al marchio e alla reputazione, per non parlare della potenziale perdita di attività a un concorrente conforme.,

Sanzioni per ITAR Violazioni della Conformità


Le sanzioni per ITAR infrazioni sono rigidi:

  • Civile multe fino a $500.000 per la violazione
  • Penali, multe fino a $1 milione e/o 10 anni di reclusione per violazione

Nel mese di aprile del 2018 il Dipartimento di Stato multato di FLIR Systems, Inc 30 milioni di dollari in sanzioni civili per il trasferimento di USML dati dual nazionale dipendenti. Parte della sanzione richiede che FLIR implementi migliori misure di conformità e assuma un funzionario esterno per supervisionare il loro accordo con il Dipartimento di Stato.,

Nel 2007 ITT ha preso a fine 100 milioni di multa al volto per l’esportazione di tecnologia di visione notturna illegalmente. ITT pensava di poter risolvere le restrizioni, il governo non era d’accordo con la loro interpretazione delle regole.

Tipi di articoli di difesa

Ci sono 21 categorie di articoli di difesa nel USML. Un articolo di difesa è qualsiasi cosa in questa lista lunga e stranamente specifica.,sociated Attrezzature

  • veicoli spaziali e dei Relativi Articoli
  • Armi Nucleari Articoli Correlati
  • Classificate Articoli, Dati Tecnici e Servizi per la Difesa Non Altrimenti Enumerati
  • Armi a Energia Diretta
  • Motori a Turbina a Gas e apparecchi Associati
  • Sommergibili, Navi e Articoli Correlati
  • Articoli, Dati tecnici e Servizi per la Difesa Non Altrimenti Enumerati
  • Come Proteggere il Vostro ITAR Dati

    Data la penalizzazione ITAR, ha senso per proteggere i dati digitali con un numero di livelli di sicurezza possibile., Poiché ITAR è un regolamento federale degli Stati Uniti, la propria guida per la sicurezza dei dati è un ottimo punto di partenza. NIST SP 800-53 definisce gli standard e le linee guida che le agenzie federali devono seguire e qualsiasi azienda che gestisce i materiali regolamentati ITAR dovrebbe utilizzare NIST SP 800-53 come linea di base per i propri standard di sicurezza..,entify utenti, gruppi, permessi a cartelle e file
    Determinare chi ha accesso ai dati

  • Gestire il Controllo di Accesso
    Identificare e disattivare raffermo utenti
    Gestione utente e gruppo di appartenenza
    Rimuovere l’Accesso Globale Gruppi
    Implementare un minimo privilegio modello
  • i Dati di monitoraggio, Attività di File, e il Comportamento dell’Utente
    Audit e report su file e le attività dell’evento
    Monitor per le minacce interne, malware, errori di configurazione e le violazioni di sicurezza
    Rilevare le vulnerabilità di sicurezza e riparazione
  • ITAR Conformità Faq

    1. Come Varonis aiutarmi a trovare tutti i miei ITAR dati?,
      Il motore di classificazione dei dati identifica e classifica i dati regolamentati nei tuoi archivi di dati principali, sia on – premise che nel cloud. È possibile configurare le regole per identificare i dati ITAR e persino applicare tag, flag e note personalizzati ai dati regolamentati.
    2. Chi può accedere a questi dati ITAR?
      Varonis DatAdvantage esegue la scansione dei file system per analizzare le autorizzazioni per tutti i dati, inclusi i dati ITAR. Capire chi può accedere a questi dati è il primo passo per proteggere i dati dall’accesso illegale., Con DatAdvantage, è possibile visualizzare queste informazioni graficamente in un’interfaccia utente pulita e intuitiva o come report esportabile.
    3. Come faccio a sapere se si accede ai miei dati ITAR?
      Varonis DatAlert monitora e attiva avvisi quando si accede ai dati, inclusa una cartella dei dati ITAR. È possibile rilevare, segnalare e indagare su qualsiasi comportamento sospetto o attività insolita sui dati ITAR e mantenere una traccia di controllo completa per soddisfare le normative ITAR.
    4. Come posso gestire l’accesso ai dati ITAR?,
      Il motore di automazione ripara e mantiene automaticamente le autorizzazioni del file system, mantenendo bloccati i dati ITAR e contribuendo a ottenere un modello con privilegi minimi. Varonis DataPrivilege aiuta a semplificare la governance degli accessi, applicare automaticamente le politiche di sicurezza e dimostrare la conformità agli auditor governativi.

    Vuoi saperne di più su come gestire i tuoi dati ITAR per soddisfare la conformità? Ottieni una demo 1:1 con un ingegnere della sicurezza per vedere come Varonis può aiutarti.