Aby organizace vyhovovala standardu FIPS, musí dodržovat různé standardy zabezpečení dat a počítačových systémů uvedené ve Federálních standardech pro zpracování informací (FIPS).

FIPS, vytvořený divizí počítačové bezpečnosti Národního institutu pro standardy a technologie (NIST), stanovil standard zabezpečení dat a počítačových systémů, který musí organizace dodržovat podle Federálního zákona o řízení bezpečnosti informací z roku 2002 (FISMA). FISMA vyžaduje, aby federální vládní agentury USA snížily riziko informačních technologií na přijatelnou úroveň za rozumnou cenu.

V roce 2014 byl FISMA nahrazen Federálním zákonem o modernizaci informační bezpečnosti z roku 2014 (FISMA2014), který zasáhl některé prvky z původního FISMA a pozměnil jej kvůli změnám v potřebách kybernetické bezpečnosti a potřebnému dohledu.

Aby se dosáhlo souladu s FIPS, musí vládní agentura USA nebo počítačové systémy dodavatele splňovat požadavky uvedené v publikacích FIPS číslovaných 140, 180, 186, 197, 198, 199, 200, 201 a 202.

• FIPS 140 pokrývá kryptografický modul a požadavky na testování v hardwaru i softwaru.
• FIPS 180 určuje, jak mohou organizace vyhovovat FIPS, když používají zabezpečené hash algoritmy pro výpočet zhuštěné zprávy.
• FIPS 186 je skupina algoritmů pro generování digitálního podpisu.
• FIPS 197 je standard, který vytvořil Advanced Encryption Standard, což je veřejně přístupná šifra schválená Národní bezpečnostní agenturou (NSA) pro přísně tajné informace.
• FIPS 198 je o mechanismu pro ověřování zpráv, který využívá kryptografické hashovací funkce.
• FIPS 199 standardizuje, jak federální agentury kategorizují a zabezpečují informace a informační systémy, které agentura shromažďuje nebo udržuje. .
• FIPS 200 je standard, který pomáhá federálním agenturám s řízením rizik prostřednictvím úrovní zabezpečení informací na základě úrovní rizika.
• FIPS 201 specifikuje standard pro společnou identifikaci federálních zaměstnanců a dodavatelů.
• FIPS 202 uvádí specifikace pro Secure Hash Algorithm-3 (SHA- 3) rodina čtyř kryptografických hash funkcí a dvou funkcí s rozšiřitelným výstupem.

FIPS 140: „Secur ity Requirements for Cryptographic Modules ”

Standard FIPS 140 se používá při navrhování, implementaci a provozu kryptografických modulů. Kryptografický modul je sada hardwaru, softwaru a / nebo firmwaru, která implementuje bezpečnostní funkce, jako jsou algoritmy a generování klíčů. Standard také definuje metody pro testování a validaci modulů.

Bezpečnostní požadavky pokrývají rozhraní kryptografických modulů; zabezpečení softwaru a firmwaru; operační prostředí, fyzická bezpečnost; správa bezpečnostních parametrů; autotesty; zmírnění útoků; a role, služby a ověřování. Federální oddělení a agentury, které provozují kryptografické moduly nebo mají smlouvy na provozování modulů pro ně, musí mít moduly, které používají, aby vyhověly těmto požadavkům.

FIPS 140 uvádí čtyři úrovně zabezpečení. Jak se úrovně zvyšují, nemusí nutně navazovat na předchozí. Vyšší úroveň prochází dalším testováním případu použití této úrovně. Co platí pro modul úrovně 2, nemusí platit pro modul úrovně 4. Moduly jsou ověřovány na základě toho, jak dobře splňují potřeby scénářů, ve kterých budou použity.

Úroveň 1 je nejnižší úroveň zabezpečení. Pokrývá základní funkce zabezpečení v kryptografickém modulu. Systémy úrovně 1 mohou používat karty integrovaných obvodů; softwarové funkce v typickém osobním počítači jsou však přijatelné.

Úroveň 2 vylepšuje aspekty fyzického zabezpečení kryptografických modulů. Příkladem požadovaných fyzických bezpečnostních opatření jsou kryty, plomby nebo zámky odolné proti podtrhnutí proti neoprávněné manipulaci. Ověřování na základě rolí je součástí této úrovně zabezpečení a zajišťuje, že operátor přistupující k modulu je autorizován a je omezen na jejich přiřazené akce. Úroveň 2 také umožňuje softwarovou kryptografii v prostředí víceuživatelského systému. To je místo, kde více uživatelů přistupuje k jednomu systému s jedním operačním systémem (OS).

Úroveň 3 vyžaduje vylepšené fyzické zabezpečení, potenciálně s produkty dostupnými ze soukromého sektoru. Integrovaný modul s více čipy musí být obsažen v silném krytu, který při jeho odstranění vynuluje kritické parametry zabezpečení. Nulování je postup přepínání nastavení stroje na nulovou hodnotu, která mění nebo odstraňuje informace. Tato úroveň zabezpečení také používá ověřování na základě identity.