Все, что вам нужно знать для обеспечения соответствия ITAR (в 2025 году)

Вам нравится стоять в пробке? Нет. В то же время, благодарны ли вы, когда ваши попутчики соблюдают правила дорожного движения ради всеобщей безопасности? Конечно. Соблюдение ITAR работает так же.

Международные правила торговли оружием (ITAR) предназначены для контроля доступа к определенным типам технологий и данных, чтобы предотвратить непреднамеренное раскрытие или передачу конфиденциальной информации неавторизованному или подозрительному иностранному гражданину. Строгие штрафы налагаются на компании, которые не соблюдают эти правила.

Например, в марте 2023 года было достигнуто соглашение между американской производственной компанией и тремя отдельными государственными организациями США, в котором были наложены штрафы на общую сумму до 27 миллионов долларов. Эти штрафы последовали за обвинениями в том, что компания нарушила законы США по контролю за экспортом, незаконно экспортировав неразрешенные материалы за рубеж. Другими словами, компания не смогла обеспечить соответствие ITAR, а цена штрафа оказалась намного выше, чем средний штраф за парковку в размере 50 долларов…

С такими последствиями неудивительно, что обсуждения вокруг соответствия ITAR так распространены. В этой статье мы рассмотрим все, что вам нужно знать о соответствии ITAR, стандартах и ​​протоколах, чтобы вы были вооружены (каламбурчик) знаниями, которые позволят вам обеспечить необходимое соответствие в вашей организации.

  • Что такое соответствие ITAR? И чем оно отличается от соответствия EAR?
  • Не допустить игнорирования требований соответствия
  • Контрольный список соответствия ITAR
  • Несколько слов о растущей приоритетности экспортного контроля и правоприменения в США

Что такое соответствие ITAR?

Соответствие ITAR означает соблюдение всех требований протокола Международного регламента по торговле оружием. ITAR — важный закон США о контроле за экспортом, который влияет на производство, продажу и распространение определенных технологий, технологических продуктов, программного обеспечения и услуг. Цель закона — регулировать доступ к определенным типам конфиденциальной информации для предотвращения ее раскрытия неавторизованным лицам, не являющимся гражданами США. Однако многих сбивает с толку то, что нет строгого определения соответствия ITAR, кроме соблюдения закона, согласно которому только граждане США могут получить доступ к товарам из Списка боеприпасов США (USML) . Ниже приведены общие шаги, но для более подробного рассмотрения:

    • Зарегистрируйтесь в Управлении по контролю за торговлей оборонной продукцией Государственного департамента США (DDTC).
    • Получите соответствующие лицензии на товары, которые вы планируете экспортировать.
    • Убедитесь, что ваши политики и процедуры соответствуют требованиям ITAR.
    • Убедитесь, что кто-то на вашем предприятии обучен правилам ITAR и знает, как обеспечить соответствие вашим политикам и процедурам.

Если это звучит несколько расплывчато, не волнуйтесь — так оно и есть! Просто знайте, что вы несете ответственность за то, чтобы убедиться, что вы следуете всем соответствующим рекомендациям ITAR. Не существует такой вещи, как сертификация третьей стороной для соответствия ITAR — вы должны настроить свои системы соответствующим образом, а затем убедиться, что правила соблюдаются.

Кому следует беспокоиться о соблюдении ITAR?

Все производители, экспортеры и брокеры оборонных изделий, оборонных услуг и связанных с ними технических данных должны соответствовать требованиям ITAR. Если это все еще не совсем полезно, вы можете пропустить сегодняшнее Слово дня; определения приведены ниже. Оборонная статья — это все, что есть в USML. Список включает, но не ограничивается, пунктами в следующих категориях:

    • Огнестрельное оружие, оружие ближнего боя и боевые дробовики
    • Оружие и вооружение
    • Боеприпасы/снаряды
    • Ракеты-носители, управляемые ракеты, баллистические ракеты, ракеты, торпеды, бомбы и мины
    • Взрывчатые вещества и энергетические материалы, ракетное топливо, зажигательные вещества и их компоненты
    • Надводные боевые корабли и специальная военно-морская техника
    • Наземные транспортные средства
    • Самолеты и сопутствующие товары
    • Военное учебное оборудование и подготовка
    • Средства индивидуальной защиты
    • Военная электроника
    • Оборудование управления огнем, лазерное, визуализационное и наводящее
    • Материалы и разные статьи
    • Токсикологические агенты, включая химические агенты, биологические агенты и связанное с ними оборудование
    • Космические аппараты и связанные с ними статьи
    • Статьи, связанные с ядерным оружием
    • Секретные статьи, технические данные и оборонные услуги, не включенные в другие категории
    • Оружие направленной энергии
    • Газотурбинные двигатели и сопутствующее оборудование
    • Подводные суда и сопутствующие изделия
    • Статьи, технические данные и оборонные услуги, не перечисленные отдельно

Оборонные услуги делятся на три основные категории:

    • Оказание помощи, включая обучение, иностранным лицам по проектированию, разработке, инжинирингу, изготовлению, производству, сборке, испытаниям, ремонту, техническому обслуживанию, модификации, эксплуатации, демилитаризации, уничтожению, переработке или использованию оборонной продукции.
    • Предоставление иностранным лицам контролируемых технических данных (см. ниже).
    • Военная подготовка иностранных частей и соединений.

Наконец, существует четыре основных типа технических данных :

    • Информация, отличная от программного обеспечения для проектирования, разработки, производства и т. д. оборонных изделий. Сюда входят чертежи, чертежи, документация и т. д.
    • Секретная информация о перечисленных выше оборонных товарах и услугах.
    • Информация, на которую распространяется действие распоряжения о секретности изобретения.
    • Программное обеспечение, напрямую связанное с оборонными статьями.

Любая информация, находящаяся в открытом доступе или обычно преподаваемая в школах, не считается контролируемыми техническими данными. Также не считается маркетинговая информация или общие описания оборонных статей. Чтобы помочь вам решить, относится ли ITAR конкретно к вам, ознакомьтесь с этим руководством от Директората по контролю за оборонной торговлей: Начало работы с оборонной торговлей .

Каковы санкции за несоблюдение требований?

Что произойдет, если вы не будете соблюдать ITAR? Мы гарантируем, что это ситуация, которую вы предпочтете избежать. Нарушения ITAR могут привести к штрафам до 1 миллиона долларов за нарушение, а также тюремному сроку и лишению права заниматься деятельностью (что означает потерю экспортной лицензии). Какими бы ни были хлопоты по соблюдению ITAR, они значительно меньше последствий его несоблюдения.

Чем ITAR отличается от соответствия EAR?

Если вы слышали о соответствии ITAR, вы могли также столкнуться с соответствием EAR (Export Administration Regulations). Если вы беспокоились, что это не будет таким же двусмысленным, как ITAR, не волнуйтесь – это так. Чтобы добавить оскорбления к травме, ITAR и EAR очень похожи. Поэтому, чтобы развеять немного путаницы, мы изложили их основные различия ниже.

итар и ухо

Предотвратить упущение из виду соблюдения требований

По сути, для обеспечения соответствия ITAR есть две части. Вместе они составляют то, что можно назвать протоколом соответствия ITAR вашей организации (ICP). Официально Руководство по программе соответствия Международным правилам торговли оружием (ITAR) содержит 8 элементов, критически важных для создания эффективного IPC:

  • Элемент 1: Приверженность руководства
  • Элемент 2: Регистрация DDTC, юрисдикция и классификация, разрешения и другие действия ITAR
  • Элемент 3: Ведение учета
  • Элемент 4: Выявление, сообщение и раскрытие нарушений
  • Элемент 5: Обучение ITAR
  • Элемент 6: Оценка риска
  • Элемент 7: Аудиты и мониторинг соответствия
  • Элемент 8: Руководство и шаблоны по соблюдению экспортных требований

Имея это в виду, вы сможете определить потребности и стандарты безопасности вашей организации, а также проверить инструменты и системы, которые вам понадобятся для поддержки каждого элемента.

Установка стандартов безопасности

Прежде чем предпринимать какие-либо действия, вашей организации необходимо определить набор стандартов безопасности. Переходя сразу к инструментам и методам для достижения соответствия, вы ставите телегу впереди лошади. Ваша организация должна решить, с чего начать. Но мы намерены прорваться сквозь туман двусмысленности, который, кажется, поглотил соответствие ITAR в целом. Итак, вот наши мысли о том, с чего начать: поскольку ITAR является федеральным нормативным актом США, использование их стандартов для контроля безопасности и конфиденциальности кажется логичной отправной точкой. Что приводит нас к NIST SP 800-53.

Что такое NIST SP 800-53A?

NIST SP 800-53A (также известный как «Средства управления безопасностью и конфиденциальностью для федеральных информационных систем и организаций») — это публикация Национального института стандартов и технологий (NIST), которая предоставляет каталог средств управления безопасностью и конфиденциальностью для федеральных информационных систем и организаций. Довольно просто, не правда ли? Хотя в первую очередь он предназначен для использования федеральными агентствами, многие другие организации используют его в качестве передовой практики для обеспечения безопасности своих информационных систем и защиты конфиденциальной информации. Поскольку NIST SP 800-53A насчитывает почти 500 страниц с 20 различными семействами средств управления, мы собираемся изложить все на высоком уровне. Итак, мы собрали основные принципы, которым должна следовать ваша организация при определении стандартов безопасности ITAR на основе принципов, изложенных в NIST SP 800-53A:

    • Управление рисками: организации должны выявлять и оценивать риски для своих информационных систем и внедрять соответствующие меры контроля для снижения этих рисков.
    • Глубокая защита: информационные системы должны быть защищены несколькими уровнями контроля безопасности, включая физический, технический и административный контроль.
    • Наименьшие привилегии: пользователи и системы должны иметь доступ только к той информации и ресурсам, которые им необходимы для выполнения своих рабочих функций.
    • Постоянный мониторинг: организации должны постоянно контролировать свои информационные системы и разрешения пользователей для своевременного обнаружения и реагирования на инциденты безопасности.
    • Целостность системы и данных: Информационные системы должны быть спроектированы таким образом, чтобы гарантировать точность, полноту и надежность данных, а также предотвращать несанкционированный доступ к информации, ее изменение или уничтожение.
    • Безопасность персонала: организации должны внедрять соответствующие меры безопасности, чтобы гарантировать, что сотрудники, имеющие доступ к конфиденциальной информации, прошли надлежащие проверки биографических данных и получили допуски к информации, составляющей государственную тайну.
    • Защита конфиденциальности: организации должны внедрить соответствующие меры контроля для защиты конфиденциальности лиц, чьи персональные данные собираются, обрабатываются, хранятся или передаются их информационными системами.

Внедрение практики в действие: инструменты, обеспечивающие соблюдение требований

Вот где резина встречается с дорогой. Как только у вас появятся стандарты безопасности, вы сможете начать проверку и внедрение инструментов для поддержания этих стандартов.

1. Системы управления посетителями

    • Проверка гражданства: Одной из конкретных вещей, требуемых для соответствия ITAR, является проверка гражданства любого, кто имеет доступ к конфиденциальной информации. Вот где вступает в дело система управления посетителями. Вы не только можете попросить проверить статус гражданства, когда посетитель регистрируется, но и можете распечатать этот статус непосредственно на бейдже каждого посетителя в дополнение к захвату и хранению изображений государственного удостоверения личности.
    • Печать бейджей: После того, как посетитель зарегистрировался с помощью системы управления посетителями, можно распечатать бейдж с именем посетителя и соответствующей информацией.
    • Захват удостоверения личности: Используйте функцию захвата удостоверения личности, чтобы попросить гостей подтвердить свой гражданский статус. Захватите изображение выданного правительством удостоверения личности, включая как переднюю, так и заднюю часть, если необходимо, и сохраните в своем журнале посещений.
    • Проверка реестра: сверка посетителей со списком наблюдения, связанным с соблюдением требований торговли.
    • Цифровой журнал регистрации: компонент ITAR требует от компании вести учет всех, кто входит на объект (и, таким образом, может быть подвержен конфиденциальной информации), что включает ведение всеобъемлющих записей посетителей. Системы управления посетителями ведут цифровую, легкодоступную запись в режиме реального времени о каждом посетителе. Это означает, что вы всегда сможете одним взглядом увидеть, кто находится на вашем объекте, в дополнение к ведению исторических записей всех событий доступа посетителей. Легко фильтруйте журнал и экспортируйте данные, когда это необходимо, включая мгновенную доступность в случае аудита.
    • Документы и раскрытие информации: собирайте подписи на любых требуемых юридических соглашениях, таких как NDA и планы контроля технологий, прямо в системе. Эти цифровые документы и подписи надежно хранятся в системе под записью каждого посетителя. Это упрощает организацию и гарантирует, что ваш бизнес будет иметь соответствующую документацию для каждого посетителя.
    • Видеоролики по технике безопасности: разрешите посетителям просматривать видеоролики по технике безопасности во время регистрации, чтобы они были хорошо осведомлены о том, как соблюдать безопасность на вашем объекте.

2. Системы управления документами

Выполнение требований к отчетности является важным компонентом соответствия ITAR. Поэтому система управления документами имеет смысл. Эти системы хранят, управляют и контролируют доступ к документам, связанным с ITAR, таким как экспортные лицензии, планы контроля технологий и руководства по соблюдению. Основные функции, обеспечивающие надлежащее управление конфиденциальной информацией, включают:

    • Контроль версий
    • Отслеживание документов
    • Безопасное хранение

3. Программы обучения и образования

Организации внедряют программы обучения и образования, чтобы информировать сотрудников о правилах ITAR, требованиях соответствия и передовой практике. Благодаря этим программам сотрудники понимают свои роли и обязанности, идентифицируют контролируемые ITAR предметы и технические данные, а также придерживаются надлежащих процедур обработки и хранения.

4. Программные решения для обеспечения соответствия требованиям

Специализированные программные решения для обеспечения соответствия автоматизируют различные процессы соответствия, включая проверку, лицензирование, ведение записей и отчетность. Эта централизованная платформа выполняет действия, связанные с ITAR, включая:

    • Отслеживание экспортной деятельности
    • Управление лицензиями и исключениями
    • Составление отчетов о соответствии

5. Внутренний контроль и аудит

Внутренний контроль и аудит — это не столько решение, сколько процесс, включающий процедуры для:

    • Классификация продукции и технических данных
    • Управление экспортом
    • Проведение комплексной проверки деловых партнеров
    • Мониторинг соответствия по всей цепочке поставок
    • Выявление областей несоответствия и реализация корректирующих действий

6. Шифрование и меры безопасности данных

Соответствие ITAR требует защиты конфиденциальных технических данных от несанкционированного доступа или раскрытия. Предприятия используют методы шифрования, средства контроля доступа, брандмауэры и защищенную сетевую инфраструктуру для защиты информации, контролируемой ITAR. Регулярные оценки безопасности и сканирования уязвимостей помогают выявлять и устранять потенциальные риски.

Контрольный список соответствия ITAR

Чтобы избежать распространенных ошибок при соблюдении требований ITAR , мы составили полный контрольный список по соблюдению требований ITAR:

  • Определите юрисдикцию: выясните, распространяется ли ITAR на вашу организацию и включен ли ваш продукт в список USML.
  • Ознакомьтесь с ITAR: ознакомьтесь с ITAR и обеспечьте другим сотрудникам вашей организации доступ к этим знаниям с помощью учебных программ или руководств по эксплуатации.
  • Регистрация DDTC: Зарегистрируйтесь в Директорате по контролю за торговлей оборонной продукцией (DDTC), как описано в части 122 ITAR ( часть 129 для брокеров). Подайте заявку на регистрацию , выполнив следующее:
    • Оплатить регистрационный взнос
    • Подпишите и заполните Заявление о регистрации. Это можно сделать в электронном виде.
    • Соберите подтверждающую документацию
    • Загрузите заполненный регистрационный пакет
  • Классификация USML: Определите классификацию вашего продукта(ов) в соответствии с Перечнем боеприпасов США.
  • Мониторинг внешних сторон: Понимайте и проверяйте своих конечных пользователей и внешних получателей. Это включает в себя то, как они используют ваши экспортируемые товары.
  • Экспортные лицензии: подайте заявку и получите соответствующие экспортные лицензии.
  • Выполняйте требования к отчетности: регистрируйте все действия ITAR и храните их в организованном и легкодоступном виде .
  • Программа соответствия ITAR (ICP): Создайте протокол ITAR и программу соответствия в своей организации. Помните, мы уже разобрали это для вас ранее в статье. Но вы всегда можете ознакомиться с полным Руководством по программе соответствия ITAR для легкого чтения.

Растущая приоритетность экспортного контроля и правоприменения в США

Соблюдение ITAR всегда должно быть приоритетом. Но в свете недавней регуляторной активности с торговыми партнерами США больше ресурсов выделяется на регулирование и обеспечение экспортного контроля и санкций в 2023 году. Это значит, будьте на ногах (если вы еще этого не сделали). Orrick Herrington & Sutcliffe LLP приводит дополнительные подробности , демонстрирующие масштабы этой растущей приоритетности, которые суммируются ниже:

    • Дополнительное распределение ресурсов (как указано выше), в том числе:
      • Увеличение числа прокуроров, привлекаемых к ответственности за нарушения в сфере торговли
      • Увеличение бюджета на обеспечение экспортного контроля на 25 процентов в 2023 финансовом году
      • Более чем на 20% увеличен бюджет на обеспечение соблюдения санкций (оба приблизительных увеличения можно найти в бюджете правительства США на 2024 финансовый год , но было бы жестоко заставлять вас читать весь этот текст)
    • Расширение межведомственного взаимодействия на федеральном уровне, в последнее время:
      • Ударная группа по прорывным технологиям
      • Министерство юстиции, Бюро международных расчетов и Управление по контролю за иностранными активами (OFAC) опубликовали первую совместную записку о соответствии
      • Оперативная группа KleptoCapture
    • Министерство юстиции пообещало жестко преследовать за нарушения санкций

Эти последние события подчеркивают важность поддержания соответствия ITAR вашей организации. В ответ вот несколько рекомендаций, которые помогут вам убедиться, что у вас все под контролем:

  1. Проведите тщательный осмотр вашего ВЧД, желательно свежим взглядом.
  2. Убедитесь, что у вас есть все необходимые системы для эффективного выполнения вашего ICP
  3. Аудит существующих систем, помогающий вам поддерживать соответствие требованиям и выполнять необходимые обновления и модернизации.
  4. Просмотрите прошлые экспортные поставки и проверьте правильность подачи документов
  5. Подтвердите, что вы не экспортируете в запрещенные страны
  6. Подтвердите, что ваши клиенты не находятся под санкциями или ограничениями
  7. Подтвердите, что вы не экспортируете продукцию для запрещенного конечного использования.

В заключение…

Соответствие ITAR не является простым. Но когда вы отсеиваете весь этот шум и вооружаетесь (каламбур все еще предполагается) правильной информацией, соответствие может быть достигнуто при использовании соответствующих инструментов. Поймите основы, как правила применяются к вашей организации, шаги, которые вам необходимо предпринять, чтобы охватить все свои базы, и — вуаля — считайте себя экспортером ITAR (понимаете, как эксперт?). Если у вас все еще есть вопросы о том, как вы можете поддерживать соответствие вашей организации ITAR, когда дело касается ваших гостей, свяжитесь с одним из наших экспертов по управлению посетителями , чтобы узнать больше.

Узнайте больше о системах управления посетителями и функциях, которые вы можете использовать для обеспечения соответствия ITAR, присоединившись к обзору продукта The Receptionist ниже!