Läs om ITAR-överensstämmelse i Data Protection 101, vår serie om grunden för informationssäkerhet.

en Definition av Itar-överensstämmelse

International Traffic in Arms Regulations (ITAR) kontrollerar export och import av försvarsrelaterade artiklar och tjänster på Us Munitions List (USML). Enligt USA, Regeringen, alla tillverkare, exportörer och mäklare av försvarsartiklar, försvarstjänster eller relaterade tekniska data måste vara ITAR-kompatibla. Därför kräver fler företag att deras supply chain-medlemmar också är ITAR-kompatibla., I Övrigt:

För ett företag som är inblandade i tillverkning, försäljning eller distribution av varor eller tjänster som omfattas av USML, eller en komponentleverantör till att varor som omfattas av Usa Munitions List (USML), ett antagande eller kravet av att vara ”ITAR-certifierad (kompatibel)” innebär att företaget måste vara registrerade av State Department ’ s Directorate of Defense Trade Controls (DDTC) om det behövs så som anges på DDTC s hemsida och företaget måste förstå och följa den ITAR när det gäller deras USML kopplade varor eller tjänster., Företaget själva intygar att de verkar i enlighet med ITAR när de accepterar att vara leverantör för usml prime exportör.

med andra ord måste företag registrera sig hos DDTC och veta vad som krävs för att de ska vara ITAR-kompatibla och sedan intyga att de har den kunskapen.

Vad betyder ITAR för mitt företag?

totalt sett är det viktigt att förstå att det inte räcker med att registrera dig hos DDTC för att sälja dina produkter eller tjänster i ITAR-branschen.du måste vara säker på att inte bryta mot ITAR: s efterlevnadsregler., Förväntan är att du är utbildad och utbildad i ITAR-regler. Tänk på att ITR-överträdelser kan leda till straffrättsliga eller civilrättsliga påföljder, förhindras från framtida export och/eller fängelse, inklusive:

  • civila böter så höga som $500,000 per överträdelse
  • straffrättsliga böter på upp till $1,000,000 och 10 års fängelse per överträdelse

Itar-efterlevnad och teknikföretag

som en viktig amerikansk exportkontrolllag påverkar ITAR tillverkning, försäljning och distribution av teknik., Målet med lagstiftningen är att kontrollera tillgången till specifika typer av teknik och tillhörande data. Sammantaget försöker regeringen förhindra utlämnande eller överföring av känslig information till en utländsk medborgare. Som ett resultat kan ITAR innebära utmaningar för globala företag, eftersom data relaterade till specifik teknik kan behöva överföras via internet eller lagras lokalt utanför USA för att få affärsprocesser att flöda smidigt., Det åligger tillverkaren eller exportören att vidta nödvändiga försiktighetsåtgärder och åtgärder för att intyga att de i själva verket uppfyller ITAR: s krav på överensstämmelse.,

specifikt Itar:

  • täcker militära objekt eller försvarsartiklar
  • reglerar varor och teknik som är utformad för att döda eller försvara sig mot döden i en militär miljö
  • inkluderar rymdrelaterad teknik på grund av tillämpning på missilteknik
  • innehåller tekniska data relaterade till försvarsartiklar och tjänster
  • innebär strikt reglerande licensiering och tar inte upp kommersiella eller forskningsmål

2020 Itar ändring

i december 2019 lade utrikesdepartementet till en ändring av Itar., Enligt sammanfattningen syftar ändringsförslaget till att ” mer exakt beskriva de artiklar som ger en kritisk militär eller underrättelsefördel eller, när det gäller vapen, utföra en inneboende militär funktion och därmed motivera export och tillfällig importkontroll på USML.”

den nya regeln trädde i kraft den 9 mars 2020 och kan eventuellt ändra hur organisationer lagrar och delar ITAR-data i molnet. I huvudsak kan vissa data lagras i molnet så länge det är säkert att nås av utländska enheter och uppfyller vissa kriterier., Med detta nya ändringsförslag kommer data inte att betraktas som en ”export” så länge det är:

  • oklassificerad
  • hålls säkert med end-to-end kryptering
  • Kryptografiskt säkrade

Itar Datasäkerhetsrekommendationer

Nu när du vet betydelsen av Itar-överensstämmelse och straffen för att inte följa, är det viktigt att förstå hur du skyddar dina ITAR-kontrollerade data.,

  • tilldela ett unikt ID till varje person med datoråtkomst
  • testa regelbundet säkerhetssystem och processer
  • skydda känsliga data med kryptering
  • övervaka och testa nätverk regelbundet
  • implementera starka åtgärder för åtkomstkontroll
  • spåra och övervaka all åtkomst till nätverksresurser och känsliga data
  • upprätthålla ett program för sårbarhetshantering
  • genomföra åtgärder för att förhindra förlust av Itar-kontrollerade data

    • den här listan är inte tillgänglig för uttömmande, men är tänkt att utgöra en utgångspunkt för att säkra känsliga uppgifter och uppfylla ITAR-kraven., Genom att följa och anta dessa åtgärder till ditt företags behov, du kan se till att ITAR data är fortfarande tillgänglig där det måste vara samtidigt som skyddas mot förlust eller obehörig åtkomst.

    Experter väger in Itar-överensstämmelse

    Här är en titt på vad experterna har att säga om ITAR-överensstämmelse.

    1. Certifiering är en myt. ”Många har hört termen ”certifierad” i förhållande till ITAR. I verkligheten finns det inget sådant som att vara ITAR-certifierad. Det finns endast ett lagstadgat krav som ska registreras och ett företags skyldighet att uppfylla kraven., Förvirringen kommer när du får ett brev från din kund ber dig att ”intyga” att ditt företag är ITAR kompatibel. Vad de verkligen frågar är, ” Är du registrerad för ITAR och har du ett etablerat efterlevnadsprogram med alla nödvändiga kontroller på plats?””- Mark Bleckley, vad det verkligen betyder att vara Itar-kompatibel: varför ska du sluta säga att du är Itar-certifierad, Grand Valley State University

    2. Registrering betyder inte att du är ute ur skogen., ”Det som är viktigt att förstå är att även om du kan registrera ditt företag med DDTC för att sälja dina produkter eller tjänster i ITAR-branschen, får du inte heller bryta mot ITAR-efterlevnadsreglerna. Du förväntas bli utbildad och utbildad i ITAR regler. Brott mot ITAR kan leda till straffrättsliga eller civilrättsliga påföljder, debarred från framtida export samt fängelse.”- Vad betyder Itar Compliant/Itar Compliance?, Dunlap-Sten Universitet

    3. Använd en checklista., ”En checklista för ITAR-överensstämmelse är ett verktyg som används av vapenleverantörer för att enkelt avgöra om de är ITAR-kompatibla, upprätta ett identifieringssystem för ITAR-kontrollerade produkter och genomföra ett effektivt ITAR-efterlevnadsprogram.”— Jona Tarlengco, Topp 3 ITAR Överensstämmelse Checklistor, säkerhetskultur

    Om ditt företag är föremål för ITAR överensstämmelse, att följa dessa tips och bästa praxis kommer att säkerställa att du är kompatibelt med de flesta nuvarande bestämmelser, inklusive den senaste ändringen hänför sig till tryggandet av känsliga NATO-kontrollerade data i molnet.

    taggar: dataskydd 101