Правила международных перевозок вооружений США (ITAR)

Обзор

AWS GovCloud (США) обеспечивает соответствие Правилам международных перевозок вооружений США (ITAR). В рамках всеобъемлющей программы соответствия требованиям ITAR компании, обязанные соблюдать правила экспорта ITAR, должны предотвращать непреднамеренный экспорт путем предоставления доступа только уполномоченным лицам. Регион AWS GovCloud (США) предоставляет среду, физически расположенную на территории США. Доступ к этой среде имеют только сотрудники AWS, которые являются гражданами США. Это позволяет соответствующим компаниям перемещать, обрабатывать и хранить свои защищенные продукты и данные с соблюдением ограничений ITAR. Аудит среды региона AWS GovCloud (США), проведенный независимой проверяющей организацией (3PAO), подтвердил наличие надлежащих средств управления и контроля для поддержки клиентских программ соответствия правилам экспорта.

• Что такое ITAR?

  Правила международных перевозок вооружений (ITAR) регулируют экспорт продуктов оборонного назначения из США и регламентируют, что нерезиденты США не могут иметь физического или логического доступа к продуктам, хранимым в среде, подпадающей под требования ITAR.

  Продукты, подпадающие под Номенклатуру военного имущества США (USML) ITAR, включают в себя оборудование, компоненты, материалы, программное обеспечение и техническую информацию, доступ к которым могут иметь только резиденты США. Для нерезидентов доступ может быть организован по специальному допуску или в порядке исключения. Резидентами США являются лица, обладающие грин‑картой Соединенных Штатов (видом на жительство) или граждане США.
  

• Как требования ITAR применяются к облаку?

  При обеспечении соответствия требованиям ITAR в облаке особое внимание уделяется тому, чтобы информация, считаемая техническими данными ITAR, не попала случайно в распоряжение иностранных граждан или иностранных государств несанкционированно.
  

• Как AWS поддерживает клиентов, подпадающих под действие экспортных правил ITAR?

  AWS предоставляет клиентам возможность хранить данные в регионе AWS GovCloud (США), который находится на территории США и обслуживается исключительно гражданами США. AWS GovCloud (США) является изолированной облачной средой Amazon, в котором аккаунты открываются только для резидентов США, работающих на организации США.

  Так как AWS не обладает возможностью контроля данных, загружаемых клиентами в ее сеть, и не располагает сведениями о них, в том числе подпадают ли они под правила ITAR, все клиентские данные внутри региона AWS GovCloud (США) считаются данными, подпадающими под действие ITAR, и с ними обращаются соответствующим образом.

• Как клиент может убедиться, что регион AWS GovCloud (США) соответствует требованиям ITAR?

  Формальная сертификация на соответствие требованиям ITAR отсутствует. Регион AWS GovCloud (США) постоянно проверяется независимой проверяющей организацией (3PAO), аккредитованной в рамках федеральной программы управления рисками и авторизацией (FedRAMP). Регион имеет разрешение на ведение деятельности (P‑ATO) с высокими базовыми стандартами, полученное от объединенного совета по авторизации (JAB). К представителям JAB относятся руководители по информационным технологиям Министерства обороны США, Министерства внутренней безопасности США и Администрации общих служб США. Подробные сведения см. на странице Обеспечение высокого уровня соответствия требованиям программы FedRAMP в регионе AWS GovCloud (США).
  

• Как применяется модель общей ответственности AWS в случаях, когда клиенты передают, обрабатывают и хранят данные, подпадающие под действие правил ITAR, на платформе AWS?

  AWS отвечает за логическое и физическое соответствие предлагаемой облачной инфраструктуры и ключевых сервисов установленным требованиям. Клиенты отвечают за работу собственной локальной ИТ‑инфраструктуры, приложений и систем. Разрешение на ведение деятельности (P‑ATO) с высокими базовыми стандартами, полученное для региона AWS GovCloud (США) от объединенного совета по авторизации (JAB) в рамках FedRAMP, свидетельствует о наличии внутри этого региона надлежащих механизмов управления безопасностью. AWS поддерживает клиентов, которые создают на AWS системы, соответствующие требованиям ITAR. Ниже приведены несколько примеров сервисов AWS, которые помогают клиентам справляться со своими обязательствами по обеспечению соблюдения безопасности.

  Обеспечение защиты конфиденциальных данных. Клиенты могут защитить конфиденциальные несекретные файлы данных с помощью шифрования на стороне сервера в Amazon S3; хранить ключи безопасности и управлять ими с помощью AWS CloudHSM или использовать AWS Key Management Service (KMS), которым можно управлять за один щелчок мышью.

  Получение расширенной информации об операциях в облаке. Клиенты могут проводить аудит доступа к конфиденциальным данным и их использования с помощью Amazon CloudTrail – сервиса ведения журналов API, который обслуживается и управляется резидентами США.

  Улучшенное управление удостоверениями. Клиенты могут ограничивать доступ к конфиденциальным данным конкретным пользователям либо по критериям местоположения и временного интервала. Для ограничения доступных пользователям вызовов API клиенты могут использовать федерацию удостоверений, простую систему ротации ключей, а также другие мощные инструменты контроля доступа от AWS.