Para cumplir con FIPS, una organización debe adherirse a los diversos estándares de seguridad de datos y sistemas informáticos descritos en los Estándares federales de procesamiento de información (FIPS).

Creado por la División de Seguridad Informática del Instituto Nacional de Estándares y Tecnología (NIST), FIPS estableció un estándar de seguridad de datos y sistemas informáticos que las organizaciones deben cumplir según la Ley Federal de Administración de Seguridad de la Información de 2002 (FISMA). FISMA exige que las agencias del gobierno federal de los Estados Unidos reduzcan el riesgo de la tecnología de la información a un nivel aceptable a un costo razonable.

En 2014, FISMA fue reemplazada por la Ley Federal de Modernización de la Seguridad de la Información de 2014 (FISMA2014), que golpeó algunos elementos del FISMA original y lo enmendó para los cambios en las necesidades de seguridad cibernética y la supervisión necesaria.

Para cumplir con FIPS, los sistemas informáticos de una agencia del gobierno de EE. UU. o de un contratista deben cumplir con los requisitos descritos en las publicaciones de FIPS numeradas 140, 180, 186, 197, 198, 199, 200, 201 y 202.

• FIPS 140 cubre el módulo criptográfico y los requisitos de prueba tanto en hardware como en software.
• FIPS 180 especifica cómo las organizaciones pueden cumplir con FIPS cuando utilizan algoritmos hash seguros para calcular un mensaje condensado.
• FIPS 186 es un grupo de algoritmos para generar una firma digital.
• FIPS 197 es un estándar que creó el Estándar de cifrado avanzado, que es un cifrado de acceso público aprobado por la Agencia de Seguridad Nacional (NSA) para información ultrasecreta.
• FIPS 198 trata sobre un mecanismo para la autenticación de mensajes que utiliza funciones de hash criptográficas.
• FIPS 199 estandariza cómo las agencias federales categorizan y protegen la información y los sistemas de información que la agencia recopila o mantiene .
• FIPS 200 es un estándar que ayuda a las agencias federales con la gestión de riesgos a través de niveles de seguridad de la información basados en niveles de riesgo.
• FIPS 201 especifica el estándar para la identificación común para empleados y contratistas federales.
• FIPS 202 proporciona las especificaciones para el algoritmo Secure Hash-3 (SHA- 3) familia de cuatro funciones hash criptográficas y dos funciones de salida ampliable.

FIPS 140: «Secur Requisitos para los módulos criptográficos ”

El estándar FIPS 140 se utiliza para diseñar, implementar y operar módulos criptográficos. Un módulo criptográfico es el conjunto de hardware, software y / o firmware que implementa funciones de seguridad, como algoritmos y generación de claves. El estándar también define los métodos para probar y validar los módulos.

Los requisitos de seguridad cubren las interfaces de los módulos criptográficos; seguridad de software y firmware; entorno operativo, seguridad física; gestión de parámetros de seguridad; autoevaluaciones; mitigación de ataques; y roles, servicios y autenticación. Los departamentos y agencias federales que operan módulos criptográficos o tienen contratos para que los módulos operen deben hacer que los módulos que utilizan pasen las pruebas para estos requisitos.

FIPS 140 describe cuatro niveles de seguridad. A medida que aumentan los niveles, no necesariamente se están construyendo sobre los anteriores. Un nivel superior pasa por pruebas adicionales para el caso de uso del nivel. Lo que es aplicable a un módulo de nivel 2 puede no aplicarse a un módulo de nivel 4. Los módulos se validan en función de qué tan bien satisfacen las necesidades de los escenarios en los que se utilizarán.

El nivel 1 es el nivel más bajo de seguridad. Cubre las características de seguridad básicas en un módulo criptográfico. Los sistemas de nivel 1 pueden utilizar tarjetas de circuito integrado; sin embargo, las funciones de software en una computadora personal típica son aceptables.

El nivel 2 mejora los aspectos de seguridad física de los módulos criptográficos. Ejemplos de medidas de seguridad física requeridas son revestimientos a prueba de manipulaciones, sellos o cerraduras resistentes a picaduras. La autenticación basada en roles está incluida en este nivel de seguridad y garantiza que el operador que accede al módulo esté autorizado y limitado a sus acciones asignadas. El nivel 2 también permite la criptografía de software en un entorno de sistema multiusuario. Ahí es donde varios usuarios acceden a un solo sistema con un sistema operativo (SO).

El nivel 3 requiere una seguridad física mejorada, potencialmente con productos disponibles del sector privado. Un módulo integrado de varios chips debe estar contenido en una carcasa resistente que ponga a cero los parámetros de seguridad críticos cuando se retire. La puesta a cero es la práctica de convertir la configuración de la máquina a un valor cero, lo que altera o elimina información. Este nivel de seguridad también utiliza autenticación basada en identidad.