Omfattas ditt företag av ITAR- eller EAR-bestämmelserna? Om du är osäker är det viktigt att du tar reda på det – snabbt. Annars kan du drabbas av allvarliga konsekvenser om du inte följer reglerna. Om du vill ta reda på vilka bestämmelser ditt företag omfattas av kan du utforska vad ITAR och EAR omfattar och hur en fildelningslösning kan underlätta efterlevnaden.

The International Traffic in Arms Regulations (ITAR)

ITAR reglerar exporten av försvarsartiklar och -tjänster med målet att hålla material borta från utländska medborgares händer. Dessa bestämmelser gäller för både statliga entreprenörer och underleverantörer, och de artiklar och tjänster som omfattas av dessa bestämmelser beskrivs i United States Munitions List (USML).

Även om ditt företag inte tillverkar missiler eller stridsvagnar kan du ändå bli tvungen att anpassa dig till ITAR. USML ett brett spektrum av produkter, tjänster och tekniska data, som fordon, ammunition, flygplan med mera. Men det omfattar också artiklar som du kanske inte förväntar dig, som militärt utbildningsmaterial, sekretessbelagda artiklar och andra uppgifter.

ITAR reglerar särskilt import, export och tillfällig import och export av produkter, uppgifter och tjänster som omfattas av USML. Att skicka ett ITAR-täckt dokument via e-post betraktas som export av data, så företagen måste vara särskilt uppmärksamma på hur deras data delas.

Även om det kan låta okomplicerat att hålla USML-täckta artiklar begränsade till endast godkända amerikanska medborgare, kan detta vara mer komplicerat än det verkar. Det kan innebära att tillgången för en utländsk medborgare, till och med en som är anställd av ditt eget företag, måste begränsas för att skydda känslig hårdvara och data.

The Export Administration Regulations (EAR)

EAR täcker den kommersiella komponenten av import och export av produkter och data. Den är tillämplig på produkter med dubbla användningsområden, som är tillgängliga både för kommersiell försäljning och för statligt bruk, t.ex. GPS-system eller högpresterande datorer.

De varor som omfattas av EAR är uppräknade i Commercial Control List (CCL) i ett fåtal kategorier av produkter eller tjänster:

  1. Nukleära och diverse

  2. Material, kemikalier, mikroorganismer, och toxiner

  3. Materialbearbetning

  4. Elektronik

  5. Datorer

  6. Telekommunikation

  7. Informationssäkerhet

  8. Sensorer och laser

  9. Navigation och flygteknik

  10. Marinteknik

  11. Rymd- och rymdteknik och framdrivning

Då alla kategorier är breda, måste ditt företag troligen göra lite efterforskningar eller ta kontakt med en U.U. S. Department of Commerce, Bureau of Industry and Security (BIS) tjänsteman för att avgöra om dina produkter faller in i någon av dessa kategorier. BIS är det statliga organ som ansvarar för att reglera och upprätthålla efterlevnaden av EAR.

ITAR vs. EAR: Hur de skiljer sig åt

Det är lätt att säga att ITAR omfattar export av alla försvarsrelaterade material och föremål, och EAR omfattar allt annat. Men det kan ta tid att reda ut dessa liknande, men ändå olika förordningar. Nu när du har en bättre uppfattning om vad ITAR omfattar och vad EAR omfattar kan du titta på de tre huvudområden där dessa förordningar skiljer sig åt:

  • Reglerande organ: ITAR regleras av det amerikanska utrikesdepartementet, Directorate of Defense Trade Controls (DDTC), medan EAR regleras av det amerikanska handelsdepartementet, Bureau of Industry and Security (BIS).

  • Reglerade föremål: ITAR omfattar alla försvarsartiklar och -tjänster, medan EAR omfattar kommersiella produkter och produkter och teknik med dubbla användningsområden.

  • Hur reglerade produkter listas: Du kan hitta ITAR-täckta produkter på United States Munitions List (USML), medan EAR-produkter listas på Commercial Control List (CCL).

Denna sammanfattning av avvikelserna visar att även om de skiljer sig åt så är ITAR och EAR i många avseenden parallella bestämmelser. Och i slutändan har de båda samma mål – att skydda känsliga material eller föremål från att hamna i fel händer.

Var fildelning och efterlevnad möts

Du känner förmodligen redan till de allvarliga konsekvenser som kan uppstå om man inte följer de statliga bestämmelserna. När det gäller ITAR och EAR kan underlåtenhet att följa någon av bestämmelserna kosta ditt företag en betydande summa i böter och förlorade affärer. Du kan till och med drabbas av allvarligare konsekvenser, t.ex. brottsmisstankar. Så det är absolut nödvändigt att du har kontrollerna på plats för att upprätthålla efterlevnaden.

Ett av de första stegen du bör ta för att skydda dig mot bristande efterlevnad är att införa en säker fildelningslösning. Eftersom båda förordningarna inte bara handlar om hårdvara utan även om data behöver du ett sätt att dela dessa data både internt och externt utan att känslig information äventyras.

Som du kanske inte ”exporterar” i traditionell bemärkelse kan det hända att du delar och skickar information till andra parter. Att exportera data är en daglig företeelse i de flesta företag idag. Om du skickar ITAR- eller EAR-relaterad information både internt och till dina kunder måste du fastställa standarder för att hålla dina data säkra, oavsett vem som delar dem och vem de delar dem med.

När du använder en säker fildelningslösning har du verktygen som behövs för att hålla dina data säkra. I synnerhet ITAR beskriver ett antal sätt som du behöver för att skydda dina data, indelade i fyra kategorier:

  • Access Controls

    • Access Controls

      • Access data får inte nås via offentliga datorer. Med säkra fildelningslösningar kan du begränsa åtkomsten efter IP-adress, så att konton och data endast nås från godkända, säkra datorer.

      • Access till konton kan endast beviljas genom autentiseringsmetoder. Detta innebär att konton måste skyddas med användarnamn, lösenord, SSH-nycklar osv.

      • ITAR-reglerade data måste skyddas fysiskt. Välj en FTP-leverantör som arbetar från en säker plats.

    • Systemhantering

      • Uppdatera regelbundet program för förebyggande av skadlig kod. De bästa FTP-värdarna hanterar och uppdaterar alla säkerhetsåtgärder för programvara.

      • Hårdvara som ger tillgång till kontrollerade data bör vara uppdaterad med aktuella säkerhetspatchar och säkerhetsuppdateringar. Din fildelningsvärd underhåller den säkra lösningen åt dig.

      • Elektroniska medier bör raderas i enlighet med NIST 800-88. De bästa fildelningslösningarna följer detta mandat, vilket även ditt företag bör göra.

      • Data måste krypteras när de lagras. Detta är en av de viktigaste funktionerna hos en säker fildelningslösning. I en toppfildelningslösning krypteras data automatiskt.

    • Överföring av data

      • Överför inte okrypterade data. Med hjälp av en säker fildelningslösning kan administratörer tvinga fram datakryptering som ett krav för fildelning.

      • Trådlösa nätverk bör vara krypterade. Detta faller under företagets ansvar, inte FTP-värdens.

      • Övervaka inkommande och utgående trafik. Branschledande fildelningslösningar tillhandahåller aktivitetsloggar som visar vem som har tillgång till data. Du kan också kontrollera åtkomst baserat på land och IP-adress.

      • Detektera dataintrång när de inträffar. Om du använder en fildelningslösning som FTP Today skyddas du av intrångsdetektering och förebyggande åtgärder för att förhindra obehörig åtkomst.

      • Underleverantörer måste anpassa sig till regler. Som underleverantör garanterar de bästa värdarna för fildelningslösningar att dina data inte kommer att hanteras felaktigt hos dem.

    • Exekverbar programvara på delade system

      • Kataloger som innehåller programvara kommer att ha strikta åtkomstbehörigheter. Om du väljer en FTP-lösning som FTP Today ser värden till att all programvara finns i isolerade kataloger.

      • Auditloggar är aktiverade och säkerhetskopierade. Din FTP-värd tillhandahåller loggar som bevaras så länge du behöver dem.

      • Systemen bör endast förvaltas av amerikanska medborgare. FTP Today, till exempel, anställer endast amerikanska medborgare för att säkerställa att denna förordning följs.

      • Endast amerikanska medborgare bör ha fysisk tillgång till systemen. De bästa FTP-värdarna säkerställer säkerheten på de platser där deras fysiska infrastrukturer finns.

    Sluttningsvis är det bästa sättet att täcka dina baser när det gäller alla dessa förordningar att välja en fildelningslösning som kan hålla dig förenlig och dina data säkra. En fildelningsvärd kan fokusera på komplexiteten i efterlevnaden när det gäller fildelning, och du kan vända din uppmärksamhet tillbaka till din verksamhet.

    Vill du lära dig mer om hur du håller dig förenlig med ITAR-bestämmelserna? Utforska den här guiden om ITAR-överensstämmelse och dess inverkan på datadelning.

admin

Lämna ett svar

Din e-postadress kommer inte publiceras.

lg