Правила международной торговли оружием

Правила международной торговли оружием (ITAR) — это реализация Закона о контроле за экспортом вооружений (AECA) и Указа Президента США 13 637 Госдепартаментом. Правила ITAR включают рекомендации, касающиеся экспорта и временного импорта товаров и услуг оборонного назначения. Они гласят, что лица, не являющиеся гражданами США, не имеют права на лицензию или иной разрешительный документ на владение товарами оборонного назначения, хранящимися в среде ITAR (ознакомиться с исключениями можно в полном тексте).

Вопросы об ITAR

Товары оборонного назначения, подпадающие под действие правил, указаны Госдепартаментом США в Списке вооружений США, приведённом на языке правил. Список вооружений США допускает изменения только на основании внесения поправок.

В контексте правил субъектом, находящимся под юрисдикцией США, считается следующее лицо.

Субъект, находящийся под юрисдикцией США, — это субъект (в соответствии с определением в § 120.14 данной части), являющийся законным постоянным резидентом, как определено в 8 U.S.C. 1101(a)(20), или защищаемым лицом, как определено в 8 U.S.C. 1324b(a)(3). Кроме того, это любая корпорация, торгово-промышленная организация, коллективное юридическое лицо, товарищество, концерн или любые другие хозяйствующий субъект, организация или группа, зарегистрированные для ведения бизнеса в США. Это также любая государственная организация (федеральная, относящаяся к штату или локальная). Это не иностранное лицо, как описано в § 120.16 данной части.

Что касается среды Smartsheet Gov, правила ITAR распространяются на клиентов, следящих за тем, чтобы информация, подпадающая под действие ITAR (Список вооружений США), не была раскрыта лицам, которые не удовлетворяют требованиям к доступу в соответствии с правилами, т. е. лицам, которые считаются иностранным лицами, как определено в правилах.

Для клиентов, которым актуален вопрос соблюдения ITAR, Smartsheet предлагает платформу, размещённую в AWS GovCloud (под управлением субъектов, находящихся под юрисдикцией США) и находящуюся под управлением сотрудников Smartsheet, которые соответствуют определению субъектов, находящихся под юрисдикцией США.

В правилах ITAR не указано, каким образом должно подтверждаться соответствие юридическим требованиям, например, путём официальной сертификации, аттестации или авторизации. Smartsheet Gov работает из AWS GovCloud (под управлением субъектов, находящихся под юрисдикцией США), поддерживает FedRAMP Moderate (IL2) P-ATO и находится под управлением сотрудников Smartsheet, которые соответствуют определению субъектов, находящихся под юрисдикцией США.

Smartsheet поддерживает в среде Gov ряд функций, которые помогают клиентам надлежащим образом защищать данные.

  • Управление доступом: Smartsheet рекомендует использовать среду Gov с поставщиком услуг единого входа и многофакторной аутентификацией.
  • Шифрование: Smartsheet предоставляет реализованное в этой среде шифрование с использованием средств контроля при передаче и хранении данных, внедрённых в соответствии с подтверждёнными стандартами шифрования.
  • Мониторинг: Smartsheet предлагает в составе приложения несколько функций для мониторинга данных, связанных с действиями в учётной записи Smartsheet Gov. В их число входят отчёт о доступе к таблицам, показывающий, у кого есть доступ к конкретным таблицам в вашей среде, и журнал действий для каждой таблицы, предоставляющий детальный аудит для действий в таблице.

Для обеспечения соответствия требованиям ITAR при использовании Smartsheet вам потребуется включить следующие важные средства контроля.

  1. Отключение публикации.

    1. Отключите функцию публикации на уровне учётной записи, чтобы предотвратить непреднамеренную публикацию данных на общедоступных сайтах. Публикацию необходимо отключить для следующих компонентов:

      1. таблицы,

      2. отчёты,

      3. панели мониторинга,

      4. календарь.

  2. Не добавляйте домены или адреса электронной почты в список совместного доступа (в Gov включён по умолчанию), если они нарушают требования ITAR (только субъекты, находящиеся под юрисдикцией США).

  3. Формы

  4. Экран приветствия (настраивается ежедневно)

  5. Использование API — ограничьте интеграцию при необходимости

  6. Отслеживайте интеграцию внешних хранилищ

 

Примечание. Каждый клиент несёт ответственность за независимую оценку собственного использования ПО, а также практик обеспечения безопасности Smartsheet с целью гарантировать соблюдение правил ITAR.

Если у вас есть дополнительные вопросы, ответы на которые выше отсутствуют, заполните эту форму, и с вами свяжется инженер Smartsheet по безопасности.