亚虎娱乐注册平台-亚虎娱乐注册平台APP

亚虎娱乐注册平台-亚虎娱乐注册平台APP

的见解

作为“网络事件”的出口管制转让,国防部强制披露要求

作者:奥尔加·托雷斯,管理成员 & 吊杆凯尔,副
日期:10/22/2018

出口管制条例本身就很难理解. 但对于那些也参与国防承包的公司来说, 无论是主承包商还是分包商, 出口管制条例有时与《亚虎娱乐注册平台》(“DFARS”)的额外要求相交叉。, 这使得合规变得更加困难.

例如,考虑以下三种情况:

  1. 公司A了解到,其IT服务提供商雇佣了多名印度籍员工,这些员工有可能进入公司A出口受控数据所在的网络.
  2. 在B公司, 一个标签错误的文件,包含出口控制图纸,无意中通过文件传输协议(“FTP”)网站上传到外国供应商.
  3. C公司的新人力资源经理发现一个公司员工, 谁可以通过无限制的公司服务器访问来访问受出口控制的信息, 是中国公民.

在所有这些情况下, 懂行的出口合规专业人士会知道,可能发生了受控技术数据或技术的出口或“被视为出口”. 主管出口合规的专业人员将立即限制对受出口管制数据的进一步不受控制的访问, 预警管理, 进行必要的内部审查, 并确定, 必要时,在法律顾问的帮助下, 是否宜向有关出口管制机构自愿进行自我披露(“VSD”). 但如果A、B和C公司都是国防承包商或分包商呢? 将精明的, 有能力的出口管制专业人员认识到这一点, 根据DFARS, 可能发生了“网络事故”? 网络事故的发生几乎需要即时(i.e.报告给国防部(“DoD”). 不像向出口管制机构提交VSD文件, 国防部网络事故报告要求是强制性的, 在考虑ITAR或BIS VSD的情况下,什么会使问题复杂化.

在10月21日, 2016, 国防部发布了一项最终规则,要求国防承包商在12月31日前符合美国国家标准和技术协会(NIST)特别出版物(SP)的标准800-171, 2017.[1] 最终规则的这一部分在国防承包商社区内得到了大部分的宣传, 托雷斯发表了一篇 article 在这个问题上.[2] 然而,DFARS 252年.204-7012, 经最终规则修正, 现在还要求受法规约束的承包商提交一份强制性报告, 72小时内, 发现影响涵盖承包商信息系统或涵盖国防信息的网络事件. 这里有很多东西要收拾, 首先需要澄清需求中的多个定义术语.

  • 网络事件:通过使用计算机网络而采取的对信息系统和/或其中所包含的信息造成“危害”或实际或潜在不利影响的行动;
  • 妥协:向未经授权人士披露资料, 或违反系统的安全策略, 其中,未经授权故意或无意披露, 修改, 破坏, 或者丢失物品, 或可能发生向未经授权的媒体复制信息的情况;
  • 受保护的国防信息(“CDI”):非机密的受控技术信息或其他信息, 如受控非机密信息(“CUI”)注册处所述 http://www.archives.gov/cui/registry/category-list.html,[3] 这就需要根据法律并与法律保持一致,保护或控制传播, 规定, 和政府范围的政策, 和是
    1. 在合同中标明或以其他方式标明的, 任务订单, or delivery order and provided to the contractor by or on behalf of DoD in support of the performance of the contract; or
    2. 收集, 发达, 收到了, 传播, 使用, or stored by or on behalf of the contractor in support of the performance of the contract; and
  • 受保护承建商信息系统:属于自己的非机密信息系统, 或由或为, 一个承包商,然后进行加工, 商店, 或者传送被屏蔽的防御信息.[4]

举一个典型的网络事件为例:黑客, 国外的或国内的, 浸润, 或“妥协,"国防承包商的内部服务器, 或者“覆盖承包商信息系统”,包含根据履行合同而开发的图纸和蓝图的, “CDI.“还, 本文开头概述的三种场景都不是传统的网络攻击, 但“妥协”的定义包括“向未经授权的人披露信息”,可能会触发国防部72小时报告的要求. 如果“通过使用计算机网络”向未授权人士披露,“那么就发生了网络事故, 即使披露是无意的. 但正如前面所解释的, 只有涉及CDI或包含CDI的承包商网络的网络事故才必须向国防部报告, 或者网络事故是否影响了承包商执行合同关键操作要求的能力.[5] 重要的是, CDI可包括根据《亚虎娱乐注册平台》或《亚虎娱乐注册平台APP》(“EAR”)控制的数据, 触发潜在的ITAR/EAR vsd,这取决于案件事实和其他考虑. 请注意,并非所有的CDI都受出口管制,需要保护,以免受到外国人(e.g.健康保险流通与责任法案).

在承包商确定所涵盖的网络事件发生后, 承包商将不得不对其网络进行审查,以寻找与CDI的泄露有关的证据. 此审查可包括识别受损害的计算机, 服务器, 具体的数据, 和用户帐户.

在进行了内部审查之后, 如果72小时的期限即将到来,也可以在审查期间进行, 承包商必须向国防部报告网络事件 http://dibnet.dod.mil/portal/intranet/.  需要美国国防部批准的介质保证证书才能访问报告模块, 所以,在提交报告之前,要允许一些延迟. 报告内提供的资料包括:

  • 公司名称、联络点和数据通用编号系统(“DUNS”)编号;
  • 政府合同号、合同官员和美国政府.S. 政府项目经理的联络点;
  • 合同和设施清关等级和设施CAGE代码;
  • Information regarding the actual cyber incident and the CDI involved; and
  • 对事件的叙述说明.

国防部在“常见问题”(faq)中建议承包商提供一份不完整的网络事件报告,而不是延迟提交以获取所有必要的信息.[6]  承包商披露涉及出口控制信息的网络事件时,也应考虑是否也应向相关机构提交VSD. 如果是这样,这些信息可以包含在网络事件报告中.

收到网络事件报告后, 国防部将向提交的承包商提供事故报告编号. 承包商应准备配合国防部在其损害评估过程中可能进行的任何其他法医调查. 损害评估的目标是国防部确定网络事件对CDI的影响规模以及该事件的任何进一步影响. 评估可能会调查承包商的网络安全措施是否充分,以及事故发生时是否有必要的控制措施.

重要的是,dfars252的要求.204-7012并不只适用于政府主承包商. dfaars条款(m)部分具体涉及分包商,并要求主承包商按dfaars 252进行分包.204-7012涉及CDI或关键操作支持的分包合同. 以防网络事故涉及到分包商系统, 分包商必须独立向国防部报告该事件. 收到网络事件报告号码后, 分包商必须向主承包商提供此号码, 或者下一个更高级的分包商, 在可行的情况下尽快.

出口机构和法规与新的国防部报告要求之间的潜在重叠至少可以说是令人生畏的. ITAR控制与国防用品和国防服务有关的非机密和机密技术数据. 在这种背景下, ITAR和国家工业安全计划操作手册(“NISPOM,隶属于国防安全局(DSS))[7]  共享与国防用品和服务相关的机密和非机密数据的管辖权. 因为有共同的管辖权, 从各机构收到的指导意见经常有重叠或相互矛盾之处. 例如, 在过去,DSS已经声明,机密项目和国防服务不需要许可证, 例如, ITAR许可要求. 进一步, DSS最近似乎扩大了审查itar控制的非机密信息和文件的权力,作为审计的一部分. 同样,根据dfars252.204-7012, 与无意中向外国人转让技术有关的违反《亚虎娱乐注册平台APP协定》的情况现在可能触发72小时国防部报告要求.

一个问题出现, 然而, 当导出受控数据时涉及到, 正如前面解释的, 出口VSD是“自愿”提交的,没有时间限制提交VSD. 换句话说, 公司通常会审查导致违规的事实和情况, 确认ITAR或EAR的适用性, 并决定是否提交初始VSD. 虽然出口规例允许将VSD过程分为两个步骤(i.e., 最初的VSD,然后是最后的VSD,通常是在对导致违规的情况进行彻底的审查几个月后), 实际上,公司可能需要至少几周的时间来提交一份初始的VSD报告. 在涉及影响出口机构管辖权的复杂产品分类的案件中,这一点尤其重要, 或者在更大的公司中,命令链是复杂的,VSD提交的审批层级是缓慢的. 公司现在可能面临国防部72小时的强制披露要求,必须考虑是否未能同时提交初始出口vsd或随后不久提交可能会产生负面影响.

***

国防承包商和分包商, 包括那些使用出口控制技术的公司, 应该审查他们的合同,并决定dfars252.204-7012被纳入或流出. 如果包括这一条款, 承包商已接到72小时网络事件报告要求的通知. 根据国防合同从事出口控制信息工作的承包商应确定其中任何信息是否已被国防部标记, 或者主承包商, 当CDI. 如果是这样的话, 承包商应制定程序,立即将发现的被涵盖的网络事件升级到必要的IT部门, 法律, 及管理人员,以符合72小时报告的规定,并考虑向有关的出口代理机构提交初步的VSD.

如果您有任何有关dfars252的问题,请联系托雷斯法律公司.204-7012或其实施.

 

[1] fars:云服务的网络渗透报告和承包,联邦政府,81页. 注册. 72986年10月. 2016年12月21日)(在48 C.F.R. 202, 204, 212, 239和252部分), 可以在 http://www.gpo.gov/fdsys/pkg/FR-2016-10-21/pdf/2016-25315.pdf.

[2] 看到 贾斯汀·道布尔戴接受托雷斯法律管理成员奥尔加·托雷斯的采访 承包商想知道国防部将如何执行供应链安全要求《亚虎娱乐注册平台》(Inside Defense), 3月1日. 30, 2018), http://insidedefense.com/daily-news/contractors-wonder-how-dod-will-enforce-supply-chain-security-requirements (涵盖NIST 800-171实施的难点).

[3] 出口管制信息包括在CUI登记处. 国家档案和记录管理局(NARA)负责实施该计划,并监督机构的行动,以确保遵守行政命令13556(11月11日). 10, 2010). 5月17日, 2018, 国防科学技术部被指定为国防工业基地崔监督程序实施的领导机构. 看到 约瑟夫·克南的备忘录, 国防部副部长, 关于国防工业基地受控非保密信息实施和监督(5月17日, 2018), 可以在 http://static1.squarespace.com/static/596679b9f7e0ab2988eee76e/t/5b267fa8575d1f6f794a21c1/1529249705973/CUI+Implementation+Letter.pdf. 发展支助服务处必须在本备忘录公布六个月后公布一份报告, 或11月17日, 2018年应对以下信息:确定资源约束, 支持CUI监督权限所需的额外政策, 以及项目改进建议. 

[4] 40 C.F.R. § 252.7012(a) (2018).

[5] 40 C.F.R. § 252.7012(c)(1) (2018).

[6] 常见问题(FAQs) - dars案例2013-D018的实施, 云服务的网络渗透报告和合同, 国防部采购工具箱, 问题28, http://dodprocurementtoolbox.com/faqs/cybersecurity/frequently-asked-questions-faqs-dated-jan-27-2017-implementation-of-dfars-case-2013 (1月. 27, 2017).

[7] Kernan, 在上 注3.

 

类别

联系

一般性的问题或意见?