亚虎娱乐注册平台-亚虎娱乐注册平台APP

亚虎娱乐注册平台-亚虎娱乐注册平台APP

的见解

出口监管机制仍存在关键差异,引发了网络安全评估

由:奥尔加托雷斯,管理成员和吊杆凯尔,助理
日期:02/17/2017

在过去的十年里, 云计算服务的可用性呈指数级增长,现在云访问几乎被视为一种公共设施. 云服务提供商(“csp”)可以在国际上运营, 和CSP服务器通常位于用户所在国以外的国家, 导致对出口管制的担忧.

然而, 正如大多数出口商所知道的那样, 2016年6月,美国工业和安全局(“BIS”)从《亚虎娱乐注册平台APP》(“EAR”)对“出口”的定义中分离出了一个用于发送的“出口”定义, 采取, 或者在满足某些条件时存储非机密加密技术.[1]只要满足安全标准, 将ear控制技术存储在云端, 即使是在国外, 是否会被认为是一项技术的出口. 重要的是,国际清算银行的规则要求安全控制,与美国的.S. 国家标准与技术协会(“NIST”)[2]出版物或“其他同等或更有效的加密手段。.”

与此同时, 国防贸易管制局(" DDTC "), 负责管理《亚虎娱乐注册平台APP》(《亚虎娱乐注册平台APP》), 没有发布一个并行的分割规则吗.[3]在最近的一次出口活动上, DDTC的Robert Monjay表示,DDTC没有发布分割规则是因为, 与国际清算银行, DDTC不习惯使用U.S. 政府标准如NIST公布的指南i.e.FIPS 140 - 2.[4] Mr. Monjay表示,DDTC打算在2017年春季或夏季发布一项剥离规则(类似于BIS规则).  因此, itar控制的技术数据的存储或传输, 是否加密, 跨越国际边界仍然需要DDTC授权. 像这样, 寻求在云中存储数据或在国际上传输数据的公司必须确定数据的正确管辖权,因为EAR和ITAR的出口定义目前尚未统一.

通过最近对EAR导出定义的更改, 而ITAR也在改变, 出口商应借此机会提高其网络安全水平, 不仅适用于BIS加密镂空, 但也用于防范黑客和其他非法活动的一般安全保护. NIST提供了一个改善关键基础设施网络安全的框架(“框架”), 可以在http://www.nist.gov / programs-projects / cybersecurity-framework. 该框架面向关键的基础设施行业,但对任何企业都有用. 本框架为核心网络安全功能提供指引:识别, 保护, 检测, 回应, 和恢复. 有效的加密只是充分的网络安全制度的一部分, 这也应该包括物理安全, 定期的培训, 监控, 以及应对和恢复计划, 在其他措施.

国防部(“DoD”)最近发布了一项关于网络安全保障和网络事件报告的最终规则[5],该规则适用于处理涵盖的国防信息的国防承包商(“CDI”),特别建议国防承包商审查网络安全措施。.该规则要求能够访问CDI数据的国防承包商在2017年底前实施NIST SP 800-171控制. 国防承包商还被要求在发现网络安全数据泄露后72小时内报告. 此外,根据一项拟议的国防部规则,如果数据泄露导致违反美国国防部的规定,[7].S. 出口管制, 国防部可以暂时撤销国防承包商访问出口受控制技术数据和技术的能力.如果国防承包商在20天内不能对导致临时撤销的信息进行反驳, 承包商可能被取消参与未来国防部合同的资格.

除了全面的网络安全审查, 各公司还应更新出口合规手册和技术控制计划,以反映《亚虎娱乐注册平台APP规范法》和《亚虎娱乐注册平台》在处理出口受控数据方面的差异. 如果受itar控制的技术数据未经授权出口,企业还应考虑向相关机构提交自愿自我披露, 加密的ear控制技术在没有资格的情况下被传输, 或者如果他们的公司网络被黑客攻击,出口违规发生.

如果您或您的公司需要帮助理解或遵守上述任何加密或网络安全规则或修订, 请随时与我们联系.

 

[1]标准如下:1)采用“端到端加密”方式保证技术的安全性,2)加密符合联邦信息处理标准出版物140-2 (FIPS 140-2), 3)该技术不是故意储存在俄罗斯或列在国家组D:5的国家. 修订EAR定义,81年美联储. 注册. 35586, 35604(2016年6月3日)(15 CFR§734.18).

[2] NIST在http://csrc上维护了一个经过验证的符合FIPS 140-2标准的加密模块的供应商列表.nist.政府/团体/ STM / cmvp /文件/ 140 - 1/1401vend.htm.

[3] DDTC发布了一个提议的规则,具有类似的加密镂空, 但这条规则从未成为最终规则. 亚虎娱乐注册平台APP法委员会:国防服务定义的修订, 技术数据, and Public Domain; Electronic Transmission and Storage of 技术数据; and Related Definitions, 80年美联储. 注册. 31526(2015年6月3日).

[4]罗伯特Monjay, 美国律师协会国际法组网络研讨会, NIST的云标准, ITAR的, 和EAR(一月. 12, 2017).

[5]国防联邦收购法规补充:云服务的网络渗透报告和合同(DFARS案例2013-D018), 81年美联储. 注册. 72986年10月. 21, 2016).

[6]涵盖的国防信息是指非机密的受控技术信息或其他信息, 如受控非分类信息(CUI)注册表中所述.档案.gov /崔/注册/ categorylist.html, 这就需要根据法律并与法律保持一致,保护或控制传播, 规定, 和政府范围的政策, 并-(1)在合同中有标记或以其他方式标明, 任务订单, or delivery order and provided to the contractor by or on behalf of DoD in support of the performance of the contract; or (2) Collected, 发达, 收到了, 传播, 使用, 或由承包商或代表承包商储存,以支持合同的履行.

[7]拒绝公开披露非机密技术数据和技术,81联邦储备银行. 注册. 75352年10月. 31, 2016).

[8]国防部提议的规则使用了ITAR在22 CFR§120中对“技术数据”的定义.10和EAR对“技术”的定义见15 CFR§772.1.

类别

联系

一般性的问题或意见?