Правила администрирования экспорта США (EAR)

Сведения о EAR

Министерство торговли США применяет Правила экспортного администрирования (EAR) через Бюро промышленности и безопасности (BIS). EAR широко регулирует и устанавливает контроль за экспортом и реэкспортом большинства коммерческих товаров, программного обеспечения и технологий, включая товары "двойного назначения", которые могут использоваться как в коммерческих и военных целях, так и для некоторых предметов обороны.

Руководство BIS гласит, что при передаче данных или программного обеспечения в облако или передаче между пользовательскими узлами клиент, а не поставщик облачных служб, является "экспортером", который несет ответственность за обеспечение того, чтобы передача, хранение и доступ к этим данным или программному обеспечению соответствовали ТРЕБОВАНИЯМ EAR.

Согласно BIS, экспорт означает передачу защищенных технологий или технических данных в иностранное место назначения или их передачу иностранному лицу в США (также называется экспортом). EAR широко управляет:

• Экспорт из США.
• Повторно экспортирует или перенакучает товары из США и некоторые элементы иностранного происхождения с более чем минимальной частью содержимого, исходного в США.
• Передача или раскрытие информации лицам из других стран.

Элементы, к которым применяется EAR, можно найти в списке управления коммерческой торговлей (CCL), где каждому элементу присваивается уникальный номер классификации экспортного контроля (ECCN). Элементы, не перечисленные в списке CCL, обозначены как EAR99, и для большинства коммерческих продуктов EAR99 не требуется лицензия на экспорт. Однако в зависимости от назначения, конечного пользователя или конечного использования элемента даже элементу EAR99 может потребоваться лицензия на экспорт BIS.

В заключительном правиле, опубликованном в июне 2016 года, поясняется, что требования к лицензированию EAR также не будут применяться к передаче и хранению несекретных технических данных и программного обеспечения, если они были зашифрованы сквозно с использованием проверенных криптографических модулей FIPS 140-2 и не хранятся намеренно в стране, на которую распространяется военное эмбарго, или в Российской Федерации.

Майкрософт и EAR

На технологии, продукты и службы Майкрософт распространяются правила экспортного администрирования США (EAR). Несмотря на отсутствие сертификации соответствия для EAR, Microsoft Azure, Microsoft Azure для государственных организаций и Microsoft Office 365 для государственных организаций (среды GCC High и DoD) предлагают важные функции и средства, которые помогут соответствующим клиентам управлять рисками экспортного контроля и соответствовать их требованиям.

Министерство торговли США, которое применяет EAR, заняло позицию, согласно которой клиенты, а не поставщики облачных услуг, такие как Майкрософт, считаются экспортерами своих собственных данных клиентов. Хотя большинство данных клиентов не считаются "технологическими" или "техническими данными", подлежащими контролю экспорта EAR, облачные службы Майкрософт в область структурированы таким образом, чтобы помочь клиентам управлять и значительно снизить потенциальные риски, с которыми они сталкиваются. Корпорация Майкрософт обычно, но не исключительно, рекомендует использовать облачные службы государственных организаций для соответствующих клиентов. При надлежащем планировании клиенты могут использовать следующие средства и собственные внутренние процедуры, чтобы обеспечить полное соответствие требованиям контроля экспорта в США.

• Элементы управления расположением данных. Клиенты имеют представление о том, где хранятся их данные, и доступ к надежным средствам для ограничения их хранилища. Таким образом, они могут обеспечить хранение своих данных в США и свести к минимуму передачу контролируемых технологий или технических данных за пределы США. Кроме того, данные клиентов не хранятся в несоответствующем расположении, что соответствует запретам EAR на то, где данные хранятся намеренно: центр обработки данных Azure не расположен ни в одной из 25 стран группы D:5 или в Российской Федерации.
• Сквозное шифрование. Используя преимущества сквозной безопасной гавани шифрования для физических хранилищ, указанных в EAR, облачные службы Майкрософт в область предоставляют функции шифрования, которые могут помочь защититься от рисков контроля экспорта. Они также предлагают клиентам широкий спектр вариантов шифрования данных при передаче и хранении, а также гибкость при выборе вариантов шифрования. Дополнительные сведения см. в статьях
  • Общие сведения о шифровании Azure
  • Защита информации Microsoft Purview
  • Шифрование на уровне клиента с помощью ключа клиента
• Средства и протоколы для предотвращения несанкционированного экспорта. Использование шифрования также помогает защититься от потенциального условного экспорта (или реэкспорта) в рамках EAR, так как даже если у лица, отличного от США, есть доступ к зашифрованным данным, ничего не отображается, если они не могут прочитать или понять данные, пока они зашифрованы; таким образом, нет "освобождения" контролируемых данных.

Затрагиваемые облачные платформы и службы Майкрософт

• Azure и Azure для государственных организаций
• Office 365 для государственных организаций (GCC-High и DoD)
• Intune

Методика реализации

Общие сведения о контроле экспорта в США и рекомендации для клиентов, оценивая свои обязательства в рамках EAR.

• Azure
• Office 365

Вопросы и ответы

Что нужно сделать, чтобы обеспечить соответствие элементам управления экспортом при использовании облачных служб Майкрософт?

В соответствии с EAR при отправке данных на облачный сервер, например в облако Майкрософт, экспортером считается клиент, владеющий данными, а не поставщик облачных служб. По этой причине владелец данных, т. е. клиент Майкрософт, должен тщательно оценить, как его использование microsoft cloud может привести к контролю экспорта в США, и определить, могут ли какие-либо данные, которые они хотят использовать или хранить, могут быть подвержены элементам управления EAR, и если да, то какие элементы управления применяются. Узнайте больше о том, как Azure и Office 365 облачные службы могут помочь клиентам обеспечить полное соответствие требованиям контроля экспорта в США.

Применяются ли технологии, продукты и службы Майкрософт к EAR?

Большинство технологий, продуктов и служб Майкрософт:

• Не подпадают под действие EAR и, следовательно, не включено в список элементов управления коммерческой торговлей и не имеют ECCN;
• Или они ear99 или 5D992 Mass Market имеют право на самостоятельную классификацию корпорацией Майкрософт и могут экспортироваться в страны, не на которые наключено эмбарго, без лицензии no license required (NLR).

При этом некоторым продуктам Майкрософт назначен ECCN, для которых может потребоваться лицензия, или не требуется. Обратитесь к юрисконсульту EAR или юрисконсульт, чтобы определить соответствующий тип лицензии и подходящие страны для экспорта.

В чем разница между EAR и Международными правилами торговли оружием (ИТАР)?

Основными элементами контроля экспорта США с самым широким применением являются EAR, управляемые Министерством торговли США. EAR применяется к товарам двойного назначения, которые имеют как коммерческие, так и военные применения, а также к элементам с исключительно коммерческими приложениями.

В США также есть отдельные и более специализированные правила контроля за экспортом, такие, как ИТАР, которые регулируют наиболее чувствительные предметы и технологии. Управляемые Государственным департаментом США, они вводят контроль над экспортом, временным импортом, реэкспортом и передачей многих военных, оборонных и разведывательных предметов (также известных как "оборонные статьи"), включая связанные технические данные.

Ресурсы

• Экспорт продуктов Майкрософт
• Ограничения на экспорт шифрования
• Microsoft и FIPS 140-2
• Майкрософт и ITAR
• Соответствие требованиям в центре управления безопасностью Майкрософт