Co To jest ITAR Compliance? Definicja i przepisy
International Traffic in Arms Regulations (ITAR) jest regulacją Stanów Zjednoczonych, która kontroluje produkcję, sprzedaż i dystrybucję artykułów i usług związanych z obronnością i przestrzenią kosmiczną, zgodnie z definicją zawartą w United States Munitions List (USML).
oprócz wyrzutni rakiet, torped i innego sprzętu wojskowego lista zawiera również plany, Schematy, Zdjęcia i inną dokumentację wykorzystywaną do budowy sprzętu wojskowego kontrolowanego przez ITAR., ITAR określa to mianem „danych technicznych”.
uzyskaj bezpłatny przewodnik dotyczący zgodności i przepisów dotyczących ochrony danych w USA
ITAR zobowiązuje się, że dostęp do materiałów fizycznych lub danych technicznych związanych z technologiami obronnymi i wojskowymi jest ograniczony tylko do obywateli USA. W jaki sposób firma może zapewnić, że tylko obywatele USA mają dostęp do tych danych w sieci i czy są one zgodne z ITAR? Ograniczenie dostępu do materiałów fizycznych jest proste; ograniczenie dostępu do danych cyfrowych jest bardziej skomplikowane.,
kto musi przestrzegać zasad ITAR?
każda firma, która zajmuje się, produkuje, projektuje, sprzedaje lub dystrybuuje przedmioty w USML musi być zgodna z ITAR. Ddtc (Directorate of Defense Trade Controls) Departamentu Stanu zarządza listą firm, które mogą handlować towarami i usługami USML, i to do każdej firmy należy ustalenie polityki zgodnej z przepisami ITAR.,
- Hurtownie
- Dystrybutorzy
- dostawcy oprogramowania komputerowego/ sprzętu komputerowego
- dostawcy zewnętrzni
- wykonawcy
każda firma w łańcuchu dostaw musi być zgodna z ITAR. Jeśli firma A sprzedaje część spółce B, a następnie Firma B sprzedaje tę samą część obcemu mocarstwu, firma a również narusza ITAR.
przepisy ITAR
przepisy ITAR są proste: tylko obywatele USA mogą uzyskać dostęp do pozycji na liście USML.
Zasady ITAR mogą stanowić wyzwanie dla wielu amerykańskich firm., Firma z siedzibą w USA, która prowadzi działalność zagraniczną, nie może udostępniać danych technicznych ITAR pracownikom zatrudnionym lokalnie, chyba że uzyskają Departament Stanu. autoryzacja. Ta sama zasada obowiązuje, gdy firmy amerykańskie współpracują z podwykonawcami spoza USA.
Departament Stanu może wydawać zwolnienia od tej jednej zasady, a istnieją istniejące zwolnienia ustanowione dla konkretnych celów. Istnieją pewne kraje, które obecnie mają stałe umowy ze Stanami Zjednoczonymi, które mają zastosowanie do ITAR – na przykład Australia, Kanada i Wielka Brytania.,
rząd USA wymaga posiadania i wdrożenia udokumentowanego programu zgodności ITAR, który powinien obejmować śledzenie, monitorowanie i audyt danych technicznych. W przypadku danych technicznych warto również oznaczyć każdą stronę powiadomieniem ITAR lub znacznikiem, aby pracownicy nie przypadkowo udostępnili kontrolowanych informacji nieautoryzowanym użytkownikom.
ITAR istnieje do śledzenia wojskowych i obrony wrażliwych materiałów i trzymać ten materiał z dala od rąk wrogów USA., Nieprzestrzeganie przepisów może skutkować wysokimi grzywnami oraz poważnymi szkodami dla marki i reputacji — nie wspominając już o potencjalnej utracie firmy na rzecz konkurenta spełniającego wymagania.,
kary za naruszenia zgodności ITAR
kary za naruszenia ITAR są sztywne:
- grzywny cywilne do 500 000 USD za naruszenie
- grzywny karne do 1 mln USD i/lub 10 lat pozbawienia wolności za naruszenie
w kwietniu 2018 r.Departament Stanu ukarał FLIR Systems, Inc $30 milionów kar cywilnych za przekazywanie danych usml podwójnym pracownikom Narodowym. Część kary wymaga, aby FLIR wdrożył lepsze środki zgodności i zatrudnił zewnętrznego urzędnika do nadzorowania ich umowy z Departamentem Stanu.,
w 2007 roku ITT dostał 100 milionów dolarów grzywny za nielegalny eksport technologii noktowizyjnej. ITT uważał, że mogą obejść ograniczenia, rząd nie zgodził się z ich interpretacją przepisów.
rodzaje artykułów o obronie
w USML jest 21 kategorii artykułów o obronie. Artykuł o obronie to wszystko na tej długiej i dziwnie specyficznej liście.,sprzęt socjalny
dane ITAR
biorąc pod uwagę kary związane z ITAR, warto chronić dane cyfrowe za pomocą jak największej liczby warstw zabezpieczeń., Ponieważ ITAR jest regulacją Federalną Stanów Zjednoczonych, ich własne wytyczne dotyczące bezpieczeństwa danych są doskonałym miejscem do rozpoczęcia. NIST SP 800-53 określa standardy i wytyczne, których muszą przestrzegać agencje federalne, a każda firma, która zarządza materiałami regulowanymi przez ITAR, powinna stosować NIST SP 800-53 jako podstawę dla własnych standardów bezpieczeństwa..,
określ, kto ma dostęp do jakich danych
Identyfikuj i dezaktywuj starych użytkowników
Zarządzaj członkostwami użytkowników i grup
Usuń globalne grupy dostępu
wdrażaj model najmniejszego dostępu
kontroluj i raportuj aktywność plików i zdarzeń
Monitoruj zagrożenia wewnętrzne, złośliwe oprogramowanie, błędne konfiguracje i naruszenia bezpieczeństwa
wykrywaj luki w zabezpieczeniach i usuwaj
Często zadawane pytania dotyczące zgodności z ITAR
- jak Varonis może pomóc mi znaleźć wszystkie moje dane ITAR?,
Mechanizm klasyfikacji danych identyfikuje i klasyfikuje regulowane DANE w podstawowych magazynach danych – zarówno lokalnie, jak i w chmurze. Możesz skonfigurować reguły, aby identyfikować dane ITAR, a nawet stosować niestandardowe znaczniki, flagi i notatki do danych regulowanych. - kto może uzyskać dostęp do tych danych ITAR?
Varonis DatAdvantage indeksuje Twoje systemy plików w celu analizy uprawnień do wszystkich Twoich danych, w tym danych ITAR. Zrozumienie, kto może uzyskać dostęp do tych danych, jest pierwszym krokiem do ochrony danych przed nielegalnym dostępem., Dzięki DatAdvantage możesz zobaczyć te informacje graficznie w czystym, przyjaznym dla użytkownika interfejsie użytkownika lub jako eksportowalny raport. - Skąd będę wiedzieć, czy moje dane ITAR są dostępne?
Varonis DatAlert monitoruje i uruchamia alerty, gdy dostępne są dane, w tym folder z danymi ITAR. Możesz wykrywać, oznaczać i badać wszelkie podejrzane zachowania lub nietypowe działania na danych ITAR, a także prowadzić pełną ścieżkę audytu, aby pomóc w spełnieniu przepisów ITAR. - Jak zarządzać dostępem do danych ITAR?,
Automation Engine automatycznie naprawia i utrzymuje Uprawnienia systemu plików – blokując dane ITAR i pomagając osiągnąć najmniejszy model uprawnień. Varonis DataPrivilege pomaga usprawnić zarządzanie dostępem, automatycznie egzekwować polityki bezpieczeństwa i wykazywać zgodność audytorom rządowym.
chcesz dowiedzieć się więcej o zarządzaniu danymi ITAR w celu zapewnienia zgodności? Pobierz demo 1: 1 z inżynierem bezpieczeństwa, aby zobaczyć, jak Varonis może pomóc.