Правила администрирования экспорта США (EAR)
Сведения о EAR
Министерство торговли США применяет Правила экспортного администрирования (EAR) через Бюро промышленности и безопасности (BIS). EAR широко регулирует и устанавливает контроль за экспортом и реэкспортом большинства коммерческих товаров, программного обеспечения и технологий, включая товары "двойного назначения", которые могут использоваться как в коммерческих и военных целях, так и для некоторых предметов обороны.
Руководство BIS гласит, что при передаче данных или программного обеспечения в облако или передаче между пользовательскими узлами клиент, а не поставщик облачных служб, является "экспортером", который несет ответственность за обеспечение того, чтобы передача, хранение и доступ к этим данным или программному обеспечению соответствовали ТРЕБОВАНИЯМ EAR.
Согласно BIS, экспорт означает передачу защищенных технологий или технических данных в иностранное место назначения или их передачу иностранному лицу в США (также называется экспортом). EAR широко управляет:
- Экспорт из США.
- Повторно экспортирует или перенакучает товары из США и некоторые элементы иностранного происхождения с более чем минимальной частью содержимого, исходного в США.
- Передача или раскрытие информации лицам из других стран.
Элементы, к которым применяется EAR, можно найти в списке управления коммерческой торговлей (CCL), где каждому элементу присваивается уникальный номер классификации экспортного контроля (ECCN). Элементы, не перечисленные в списке CCL, обозначены как EAR99, и для большинства коммерческих продуктов EAR99 не требуется лицензия на экспорт. Однако в зависимости от назначения, конечного пользователя или конечного использования элемента даже элементу EAR99 может потребоваться лицензия на экспорт BIS.
В заключительном правиле, опубликованном в июне 2016 года, поясняется, что требования к лицензированию EAR также не будут применяться к передаче и хранению несекретных технических данных и программного обеспечения, если они были зашифрованы сквозно с использованием проверенных криптографических модулей FIPS 140-2 и не хранятся намеренно в стране, на которую распространяется военное эмбарго, или в Российской Федерации.
Майкрософт и EAR
На технологии, продукты и службы Майкрософт распространяются правила экспортного администрирования США (EAR). Несмотря на отсутствие сертификации соответствия для EAR, Microsoft Azure, Microsoft Azure для государственных организаций и Microsoft Office 365 для государственных организаций (среды GCC High и DoD) предлагают важные функции и средства, которые помогут соответствующим клиентам управлять рисками экспортного контроля и соответствовать их требованиям.
Министерство торговли США, которое применяет EAR, заняло позицию, согласно которой клиенты, а не поставщики облачных услуг, такие как Майкрософт, считаются экспортерами своих собственных данных клиентов. Хотя большинство данных клиентов не считаются "технологическими" или "техническими данными", подлежащими контролю экспорта EAR, облачные службы Майкрософт в область структурированы таким образом, чтобы помочь клиентам управлять и значительно снизить потенциальные риски, с которыми они сталкиваются. Корпорация Майкрософт обычно, но не исключительно, рекомендует использовать облачные службы государственных организаций для соответствующих клиентов. При надлежащем планировании клиенты могут использовать следующие средства и собственные внутренние процедуры, чтобы обеспечить полное соответствие требованиям контроля экспорта в США.
- Элементы управления расположением данных. Клиенты имеют представление о том, где хранятся их данные, и доступ к надежным средствам для ограничения их хранилища. Таким образом, они могут обеспечить хранение своих данных в США и свести к минимуму передачу контролируемых технологий или технических данных за пределы США. Кроме того, данные клиентов не хранятся в несоответствующем расположении, что соответствует запретам EAR на то, где данные хранятся намеренно: центр обработки данных Azure не расположен ни в одной из 25 стран группы D:5 или в Российской Федерации.
- Сквозное шифрование. Используя преимущества сквозной безопасной гавани шифрования для физических хранилищ, указанных в EAR, облачные службы Майкрософт в область предоставляют функции шифрования, которые могут помочь защититься от рисков контроля экспорта. Они также предлагают клиентам широкий спектр вариантов шифрования данных при передаче и хранении, а также гибкость при выборе вариантов шифрования. Дополнительные сведения см. в статьях
- Средства и протоколы для предотвращения несанкционированного экспорта. Использование шифрования также помогает защититься от потенциального условного экспорта (или реэкспорта) в рамках EAR, так как даже если у лица, отличного от США, есть доступ к зашифрованным данным, ничего не отображается, если они не могут прочитать или понять данные, пока они зашифрованы; таким образом, нет "освобождения" контролируемых данных.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure и Azure для государственных организаций
- Office 365 для государственных организаций (GCC-High и DoD)
- Intune
Методика реализации
Общие сведения о контроле экспорта в США и рекомендации для клиентов, оценивая свои обязательства в рамках EAR.
Вопросы и ответы
Что нужно сделать, чтобы обеспечить соответствие элементам управления экспортом при использовании облачных служб Майкрософт?
В соответствии с EAR при отправке данных на облачный сервер, например в облако Майкрософт, экспортером считается клиент, владеющий данными, а не поставщик облачных служб. По этой причине владелец данных, т. е. клиент Майкрософт, должен тщательно оценить, как его использование microsoft cloud может привести к контролю экспорта в США, и определить, могут ли какие-либо данные, которые они хотят использовать или хранить, могут быть подвержены элементам управления EAR, и если да, то какие элементы управления применяются. Узнайте больше о том, как Azure и Office 365 облачные службы могут помочь клиентам обеспечить полное соответствие требованиям контроля экспорта в США.
Применяются ли технологии, продукты и службы Майкрософт к EAR?
Большинство технологий, продуктов и служб Майкрософт:
- Не подпадают под действие EAR и, следовательно, не включено в список элементов управления коммерческой торговлей и не имеют ECCN;
- Или они ear99 или 5D992 Mass Market имеют право на самостоятельную классификацию корпорацией Майкрософт и могут экспортироваться в страны, не на которые наключено эмбарго, без лицензии no license required (NLR).
При этом некоторым продуктам Майкрософт назначен ECCN, для которых может потребоваться лицензия, или не требуется. Обратитесь к юрисконсульту EAR или юрисконсульт, чтобы определить соответствующий тип лицензии и подходящие страны для экспорта.
В чем разница между EAR и Международными правилами торговли оружием (ИТАР)?
Основными элементами контроля экспорта США с самым широким применением являются EAR, управляемые Министерством торговли США. EAR применяется к товарам двойного назначения, которые имеют как коммерческие, так и военные применения, а также к элементам с исключительно коммерческими приложениями.
В США также есть отдельные и более специализированные правила контроля за экспортом, такие, как ИТАР, которые регулируют наиболее чувствительные предметы и технологии. Управляемые Государственным департаментом США, они вводят контроль над экспортом, временным импортом, реэкспортом и передачей многих военных, оборонных и разведывательных предметов (также известных как "оборонные статьи"), включая связанные технические данные.