admin

Oletko yrityksesi ITAR- tai EAR-säännösten alainen? Jos olet epävarma, on tärkeää, että otat asiasta selvää – nopeasti. Muuten noudattamatta jättämisestä voi seurata vakavia seurauksia. Jos haluat selvittää, mitkä määräykset koskevat yritystäsi, tutustu siihen, mitä ITAR- ja EAR-määräykset kattavat ja miten tiedostonjakoratkaisu voi helpottaa määräysten noudattamista.

Kansainvälisen asekaupan määräykset (International Traffic in Arms Regulations, ITAR)

ITAR-säännöstö sääntelee puolustustarvikkeiden ja -palveluiden vientiä, ja sen tavoitteena on pitää materiaalit poissa ulkomaan kansalaisten käsistä. Säädökset koskevat sekä valtion toimeksisaajia että alihankkijoita, ja niiden piiriin kuuluvat tuotteet ja palvelut on lueteltu Yhdysvaltain ampumatarvikeluettelossa (USML).

Vaikka yrityksesi ei valmistaisikaan ohjuksia tai panssarivaunuja, sinua saatetaan silti vaatia noudattamaan ITAR-asetusta. USML-luettelossa on laaja valikoima tuotteita, palveluja ja teknisiä tietoja, kuten ajoneuvoja, ampumatarvikkeita ja lentokoneita. Mutta se kattaa myös esineitä, joita et ehkä odota, kuten sotilaskoulutusmateriaalia, turvaluokiteltuja esineitä ja muita tietoja.

ITAR valvoo erityisesti USML:n piiriin kuuluvien tuotteiden, tietojen ja palveluiden tuontia, vientiä sekä väliaikaista tuontia ja vientiä. ITAR:n piiriin kuuluvan asiakirjan lähettäminen sähköpostitse katsotaan tietojen vienniksi, joten yritysten on oltava erityisen tarkkaavaisia sen suhteen, miten niiden tietoja jaetaan.

Vaikka saattaa kuulostaa suoraviivaiselta pitää USML:n piiriin kuuluvat esineet rajoitettuna vain hyväksyttyihin Yhdysvaltain kansalaisiin, tämä voi olla monimutkaisempaa kuin miltä se näyttää. Se voi tarkoittaa, että ulkomaan kansalaisen, jopa oman yrityksesi palveluksessa olevan, pääsyä on rajoitettava arkaluonteisten laitteistojen ja tietojen suojaamiseksi.

Vientihallintosäännökset (Export Administration Regulations, EAR)

EAR kattaa tuotteiden ja tietojen maahantuonnin ja -viennin kaupallisen osan. Sitä sovelletaan kaksikäyttötuotteisiin, joita on saatavissa sekä kaupalliseen myyntiin että valtion käyttöön, kuten GPS-järjestelmiin tai huipputehokkaisiin tietokoneisiin.

EAR:n soveltamisalaan kuuluvat tuotteet luetellaan kaupallisessa valvontaluettelossa (Commercial Control List, CCL) muutamissa tuote- tai palveluluokissa:

  1. Ydinmateriaalit ja erilaiset

  2. materiaalit, kemikaalit, mikro-organismit, ja toksiinit

  3. Materiaalien käsittely

  4. Elektroniikka

  5. Tietokoneet

  6. Telekommunikaatio

  7. Tietoturva

  8. Tietoturva

  9. Tietoturva

  10. .

  11. Asensorit ja laserit

  12. Navigointi ja avioniikka

  13. merenkulku

  14. Aerospace and Propulsion

Kuten jokainen näistä luokista on laaja, yrityksesi on todennäköisesti tehtävä hieman tutkimusta tai otettava yhteys U.S. Department of Commerce, Bureau of Industry and Security (BIS) virkailijaan selvittääkseen, kuuluvatko tuotteenne johonkin näistä luokista. BIS on valtion virasto, joka valvoo EAR:n noudattamisen sääntelyä ja valvontaa.

ITAR vs. EAR: Miten ne eroavat toisistaan

On helppo sanoa, että ITAR kattaa kaikkien puolustukseen liittyvien materiaalien ja tuotteiden viennin, ja EAR kattaa kaiken muun. Näiden samankaltaisten mutta erilaisten säädösten selvittäminen voi kuitenkin viedä aikaa. Nyt kun sinulla on parempi käsitys siitä, mitä ITAR kattaa ja mitä EAR kattaa, tarkastellaan kolmea pääaluetta, joilla nämä säädökset eroavat toisistaan:

  • Sääntelyelin: ITAR:ia sääntelee Yhdysvaltain ulkoministeriön puolustuskauppavalvonnan osasto (DDTC, Directorate of Defense Trade Controls), kun taas EAR:ia sääntelee Yhdysvaltain kauppaministeriön teollisuus- ja turvallisuusvirasto (Bureau of Industry and Security (BIS)).

  • Säännellyt esineet: ITAR kattaa kaikki puolustustarvikkeet ja -palvelut, kun taas EAR kattaa kaupalliset ja kaksikäyttötuotteet ja -teknologiat.

  • Missä säännellyt tuotteet luetellaan: ITAR:n piiriin kuuluvat tuotteet löytyvät Yhdysvaltain ampumatarvikeluettelosta (United States Munitions List, USML), kun taas EAR:n piiriin kuuluvat tuotteet luetellaan kaupallisessa valvontaluettelossa (Commercial Control List, CCL).

Tämä yhteenveto eroavaisuuksista osoittaa, että vaikka ne ovatkin erilaista toisistaan poikkeavia, ne ovat kuitenkin monella tapaa samansuuntaisia säännöksiä. Ja loppujen lopuksi niillä molemmilla on sama tavoite – suojella arkaluonteisia materiaaleja tai esineitä joutumasta vääriin käsiin.

Missä tiedostojen jakaminen ja vaatimustenmukaisuus kohtaavat

Tiedät luultavasti jo niistä vakavista seurauksista, joita voi seurata, jos viranomaismääräyksiä ei noudateta. ITAR- ja EAR-säädösten noudattamatta jättäminen voi maksaa yrityksellesi huomattavia sakkoja ja menetettyä liiketoimintaa. Sinulle voi koitua jopa vakavampia seurauksia, kuten rikossyytteet. On siis ehdottoman tärkeää, että sinulla on käytössänne valvontatoimet vaatimustenmukaisuuden ylläpitämiseksi.

Yksi ensimmäisistä toimista, jotka sinun tulisi toteuttaa vaatimusten noudattamatta jättämisen estämiseksi, on turvallisen tiedostonjakoratkaisun käyttöönotto. Koska molemmissa säädöksissä käsitellään laitteiston lisäksi myös tietoja, tarvitset tavan jakaa näitä tietoja sekä sisäisesti että ulkoisesti vaarantamatta arkaluonteisia tietoja.

Vaikka et ehkä ”vie” perinteisessä mielessä, saatat jakaa ja lähettää tietoja muille osapuolille. Tietojen vienti on nykyään jokapäiväistä useimmissa yrityksissä. Jos lähetät ITAR:iin tai EAR:iin liittyviä tietoja sekä sisäisesti että asiakkaillesi, sinun on asetettava standardit, jotta tietosi pysyvät turvassa riippumatta siitä, kuka niitä jakaa ja kenen kanssa.

Käytettäessäsi suojattua tiedostojen jakamisratkaisua sinulla on tarvittavat välineet tietojesi suojaamiseen. Erityisesti ITAR:ssa hahmotellaan useita tapoja, joilla sinun on suojattava tietosi, ja ne on jaettu neljään luokkaan:

  • Käytönvalvonta

    • Ei tietoja saa käyttää julkisten tietokoneiden kautta. Suojattujen tiedostonjakoratkaisujen avulla voit rajoittaa pääsyä IP-osoitteen perusteella, joten tileihin ja tietoihin pääsee käsiksi vain hyväksytyistä, suojatuista tietokoneista.

    • Tilien käyttöoikeus voidaan myöntää vain todennusmenetelmien avulla. Tämä tarkoittaa, että tilit on suojattava käyttäjätunnuksilla, salasanoilla, SSH-avaimilla jne.

    • ITAR-säännellyt tiedot on suojattava fyysisesti. Valitse FTP-palveluntarjoaja, joka toimii turvallisessa paikassa.

  • Järjestelmänhallinta

    • Päivitä haittaohjelmien torjuntaohjelmistot säännöllisesti. Parhaat FTP-isännät hallinnoivat ja päivittävät kaikkia ohjelmistojen turvatoimia.

    • Valvottuihin tietoihin pääsyn tarjoavan laitteiston on oltava ajan tasalla tietoturvakorjausten ja -päivitysten osalta. Tiedostonjako isäntäsi ylläpitää turvallista ratkaisua puolestasi.

    • Elektroniset tietovälineet on pyyhittävä NIST 800-88 -standardin mukaisesti. Parhaat tiedostonjakoratkaisut noudattavat tätä toimeksiantoa, ja myös yrityksesi tulisi noudattaa sitä.

    • Tiedot on salattava tallennettaessa. Tämä on yksi turvallisen tiedostonjakoratkaisun ensisijaisista toiminnoista. Huipputason tiedostonjakoratkaisussa tiedot salataan automaattisesti.

  • Tietojen siirtäminen

    • Älä lähetä salaamattomia tietoja. Käyttämällä suojattua tiedostojen jakamisratkaisua järjestelmänvalvojat voivat määrätä tietojen salauksen tiedostojen jakamista koskevaksi vaatimukseksi.

    • Langattomien verkkojen tulisi olla salattuja. Tämä kuuluu yrityksen, ei FTP-isännän vastuulle.

    • Valvo saapuvaa ja lähtevää liikennettä. Alan johtavat tiedostonjakoratkaisut tarjoavat toimintalokeja, joista käy ilmi, kuka käyttää tietoja. Voit myös valvoa pääsyä maan ja IP-osoitteen perusteella.

    • Havaitse tietomurrot, kun niitä tapahtuu. Käyttämällä FTP Todayn kaltaista tiedostojen jakamisratkaisua suojaudut tunkeutumisen havaitsemis- ja estämistoimilla, jotka estävät luvattoman pääsyn.

    • Alihankkijoiden on noudatettava säännöksiä. Alihankkijana parhaat tiedostonjakoratkaisun isännät takaavat, että tietojasi ei käsitellä väärin heidän puoleltaan.

  • Toteutettavat ohjelmistot jaetuissa järjestelmissä

    • Ohjelmistoja sisältävillä hakemistoilla on tiukat käyttöoikeudet. Jos valitset FTP-ratkaisun, kuten FTP Today, isäntä varmistaa, että kaikki ohjelmistot ovat eristetyissä hakemistoissa.

    • Auditointilokit otetaan käyttöön ja niistä otetaan varmuuskopiot. FTP-isäntä tarjoaa lokit, jotka säilytetään niin kauan kuin niitä tarvitaan.

    • Järjestelmiä saavat hallita vain Yhdysvaltain kansalaiset. Esimerkiksi FTP Today työllistää vain Yhdysvaltain kansalaisia varmistaakseen tämän asetuksen noudattamisen.

    • Vain Yhdysvaltain kansalaisilla tulisi olla fyysinen pääsy järjestelmiin. Parhaat FTP-isännät varmistavat turvallisuuden fyysisten infrastruktuuriensa sijaintipaikoissa.

Loppujen lopuksi paras tapa kattaa kaikki nämä määräykset on valita tiedostojen jakamisratkaisu, joka voi pitää sinut määräysten mukaisena ja tietosi turvassa. Tiedostojen jakamisen isäntä voi keskittyä tiedostojen jakamiseen liittyvien vaatimustenmukaisuuden monimutkaisuuteen, ja sinä voit kääntää huomiosi takaisin liiketoimintaasi.

Tahdotko oppia lisää siitä, miten pysyt ITAR-määräysten mukaisena? Tutustu tähän oppaaseen ITAR-vaatimustenmukaisuudesta ja sen vaikutuksesta tietojen jakamiseen.

admin

Vastaa

Sähköpostiosoitettasi ei julkaista.

lg