Что означает соответствие требованиям ITAR? К кому они применяются?

Термин «соответствие требованиям ITAR» является неточным. В отличие от Федеральной программы управления рисками и авторизацией (FedRAMP) и других систем соответствия требованиям не существует официального процесса «соответствовали требованиям ITAR» или «сертификации ITAR». Организациям, подпадающим под действие ITAR, необходимо понимать, как эти правила применимы к ним, и следует разработать внутренние политики и механизмы контроля с целью защиты технических данных.

Давайте рассмотрим, что такое ITAR и как пакет кибербезопасности Keeper может помочь вам соответствовать им.

Что означает соответствие требованиям ITAR?

Правила международной торговли оружием (ITAR) регулируют импорт в США и экспорт из США товаров и услуг, связанных с космосом и обороной, в соответствии с Перечнем боеприпасов США (USML). Помимо космических челноков и торпед USML также включает в себя то, что ITAR называет «техническими данными», — например, планы, диаграммы, фотографии и другую документацию, используемую для создания космических челноков, торпед и другого военного и космического оборудования.

С точки зрения кибербезопасности и соответствия требованиям ИТ-технологий ITAR требует от компаний гарантировать, что только «физические и юридические лица США» имеют доступ к техническим данным. Важно отметить, что фраза «физические и юридические лица США», по определению ITAR, относится не только к лицам, являющимся гражданами США или имеющим вид на постоянное жительство в США, но и к любой организации, которая зарегистрирована для ведения бизнеса в США, а также ко всем федеральным органам, органам власти штатов и местным органам власти.

Как правило, соблюдение требований ITAR в отношении технических данных предполагает обеспечение того, чтобы все центры обработки данных находились в США и управлялись исключительно физическими и юридическими лицами США. Кроме того, организации должны гарантировать, что только физические и юридические лица США имеют доступ к техническим данным.

Какие организации должны соответствовать требованиям ITAR?

Организации, которые продают продукцию или услуги Министерству обороны США (МО США) или которые продают их компаниям, продающим их МО, должны соответствовать нормативным актам ITAR. Это означает, что каждая организация в цепочке поставок МО должна соответствовать требованиям ITAR, от генеральных подрядчиков до других организаций в цепочке поставок, включая оптовых поставщиков, дистрибьюторов и поставщиков ИТ-услуг.

Keeper Security Government Cloud (KSGC) соответствует требованиям ITAR

Как поставщик внутрипроцессных (уровень умеренного воздействия) облачных услуг в рамках FedRAMP и первый и единственный менеджер паролей, размещенный на торговой площадке FedRAMP, Keeper имеет все возможности для того, чтобы помочь организациям достичь соответствия требованиям ITAR.

Размещен в AWS GovCloud

Среда Keeper FedRAMP Keeper Security Government Cloud (KSGC) размещен в AWS GovCloud, которое использует только расположенные в США центры обработки данных, доступ к которым имеют только физические и юридические лица США. Все данные, хранящиеся в AWS GovCloud, шифруются как в состоянии транзита, так и покоя.

Расположенная в США платформа, разработанная, управляемая и поддерживаемая физическими и юридическими лицами США

Все инженеры-программисты Keeper и персонал DevOps, работающие с KSGC, являются физическими и юридическими лицами США. Весь исходный код KSGC разработан в США, а доступ к среде KSGC строго ограничен персоналом Keeper, состоящим из физических и юридических лиц США.

Более того, KSGC задействует специализированные группы по обеспечению успеха и поддержке клиентов из США, которые прошли обучение безопасному обращению с техническими данными, регулируемыми ITAR.

Детальный контроль разрешений

Помимо предоставления ИТ-администраторам полного контроля над использованием паролей сотрудниками, получившее высокую оценку решение Keeper для управления паролями предлагает детальное управление доступом на основе ролей (RBAC) с доступом с наименьшими привилегиями. Используя Keeper, администраторы могут гарантировать, что только физические и юридические лица США имеют доступ к техническим данным ITAR и что они могут получить доступ только к тем данным, в отношении которых обладают разрешением.

Архитектура безопасности с нулевым разглашением

Keeper является поставщиком безопасности с нулевым разглашением. Нулевое разглашение — это системная архитектура, гарантирующая наивысший уровень безопасности и конфиденциальности благодаря соблюдению следующих принципов:

1. Данные шифруются и расшифровываются на уровне устройства (не на сервере)
2. Приложение никогда не хранит обычные текстовые (доступные для прочтения человеком) данные
3. Сервер никогда не получает данные в виде обычного текста
4. Ни один сотрудник или посредник не может просматривать незашифрованные данные
5. Ключи для расшифровки и шифрования данных получаются из мастер-пароля пользователя
6. Многоуровневое шифрование обеспечивает контроль доступа на уровне пользователя, группы и администратора
7. Обмен данными использует криптографию с открытым ключом для безопасного распространения ключей

Данные шифруются на устройстве пользователя до их передачи и хранения в Digital Vault Keeper. Когда данные синхронизируются с другим устройством, они остаются зашифрованными до тех пор, пока не будут расшифрованы на другом устройстве.

Данные записи пользователя остаются зашифрованными в течение всего времени после того, как они покидают устройство конечного пользователя, передаются через Интернет и сохраняются в Keeper Vault. Это означает, что никто — даже собственные сотрудники Keeper — не может расшифровать данные, которые наши пользователи хранят в своем Keeper Vault. Данные могут быть расшифрованы только на устройстве конечного пользователя с помощью мастер-пароля.

Метод шифрования, который использует Keeper, представляет собой хорошо известный проверенный алгоритм под названием AES (Advanced Encryption Standard) с 256-битной длиной ключа. Keeper использует PBKDF2 с HMAC-SHA256 для преобразования мастер-пароля пользователя в 256-битный ключ шифрования с минимум 1000 раундов. Каждый пользователь имеет 2048-битный ключ RSA для безопасного обмена данными записей.

Политики доступа с нулевым доверием

Keeper позволяет ИТ-администраторам обеспечивать комплексную безопасность паролей в масштабах всей организации, которая поддерживает проверку пользователей и устройств в качестве основы модели безопасности с нулевым доверием. Это включает использование надежных и уникальных паролей для каждой учетной записи и многофакторной аутентификации (MFA) для всех учетных записей, поддерживающих ее.

Надежные аудит и отчетность в области соответствия требованиям

KSGC создает отслеживаемый электронный аудиторский журнал всех выполненных действий или данных, введенных в среде. Используя предоставляемый Keeper модуль Расширенная отчетность и оповещения (ARAM), ИТ-администраторы и администраторы службы безопасности также могут получать уведомления по электронной почте, SMS или вебхук-оповещения в режиме реального времени о необычных или потенциально рискованных действиях; автоматически размещать данные о событиях в режиме реального времени во внешнюю электронную таблицу или решение SIEM, а также создавать индивидуальные отчеты с учетом времени для внутреннего пользования, аудитов по соблюдению требований или того и другого.

Хотите узнать больше о том, как Keeper Security Government Cloud может помочь вашей организации соответствовать требованиям ITAR? Посетите веб-страницу продукта KSGC или свяжитесь с нашей командой.