FIPSに準拠するには、組織は、連邦情報処理標準（FIPS）で概説されているさまざまなデータセキュリティおよびコンピュータシステム標準に準拠する必要があります。

米国国立標準技術研究所（NIST）のコンピュータセキュリティ部門によって作成されたFIPSは、2002年の連邦情報処理管理法（FISMA）に従って組織が遵守しなければならないデータセキュリティおよびコンピュータシステムの標準を確立しました。 FISMAは、米国連邦政府機関が合理的なコストで情報技術のリスクを許容可能なレベルまで削減することを要求しています。

2014年、FISMAは、2014年の連邦情報処理標準化法（FISMA2014）に取って代わられました。元のFISMAから、サイバーセキュリティのニーズの変化と必要な監視のために修正しました。

FIPSに準拠するには、米国政府機関または請負業者のコンピュータシステムが、FIPSの出版物番号140、180、 186、197、198、199、200、201、および202。

• FIPS 140は、ハードウェアとソフトウェアの両方における暗号化モジュールとテスト要件をカバーしています。
• FIPS 180は、要約メッセージの計算に安全なハッシュアルゴリズムを使用する場合に、組織がFIPSに準拠する方法を指定します。
• FIPS 186は、デジタル署名を生成するためのアルゴリズムのグループです。
• FIPS 197は、高度暗号化標準を作成した標準です。これは、国家安全保障局（NSA）によって最高機密情報として承認された公的にアクセス可能な暗号です。
• FIPS 198は、暗号化ハッシュ関数を利用するメッセージ認証のメカニズムに関するものです。
• FIPS 199は、連邦機関が収集または維持する情報および情報システムを分類および保護する方法を標準化しています。 。
• FIPS 200は、リスクレベルに基づく情報セキュリティのレベルを通じて連邦機関がリスク管理を行うのに役立つ標準です。
• FIPS 201は、連邦の従業員と請負業者の共通識別の標準を指定します。
• FIPS 202は、Secure Hash Algorithm-3（SHA- 3）4つの暗号化ハッシュ関数と2つの拡張可能な出力関数のファミリー。

FIPS 140： “Secur暗号化モジュールの要件」

FIPS 140標準は、暗号化モジュールの設計、実装、および運用に使用されます。暗号化モジュールは、アルゴリズムやキー生成などのセキュリティ機能を実装するハードウェア、ソフトウェア、ファームウェアのセットです。この規格では、モジュールのテストと検証の方法も定義されています。

セキュリティ要件は、暗号化モジュールのインターフェイスを対象としています。ソフトウェアとファームウェアのセキュリティ。動作環境、物理的セキュリティ;セキュリティパラメータ管理;セルフテスト;攻撃の軽減;および役割、サービス、および認証。暗号化モジュールを運用している、またはモジュールを運用する契約を結んでいる連邦の省庁は、これらの要件のテストに合格する必要があります。

FIPS 140は、4つのセキュリティレベルの概要を示しています。レベルが上がるにつれて、それらは必ずしも前のものの上に構築されているわけではありません。より高いレベルでは、レベルのユースケースについて追加のテストが行われます。レベル2モジュールに適用できることは、レベル4モジュールには適用されない場合があります。モジュールは、使用されるシナリオのニーズをどの程度満たしているかに基づいて検証されます。

レベル1は、最低レベルのセキュリティです。暗号化モジュールの基本的なセキュリティ機能について説明します。レベル1システムは集積回路カードを使用できます。ただし、一般的なパーソナルコンピュータのソフトウェア機能は許容されます。

レベル2は、暗号化モジュールの物理的なセキュリティ面を改善します。必要な物理的セキュリティ対策の例としては、不正開封防止コーティング、シール、または耐ピックロックがあります。役割ベースの認証はこのセキュリティレベルに含まれており、モジュールにアクセスするオペレーターが許可され、割り当てられたアクションに制限されていることを確認します。レベル2では、マルチユーザーシステム環境でのソフトウェア暗号化も可能です。ここで、複数のユーザーが1つのオペレーティングシステム（OS）で単一のシステムにアクセスします。

レベル3では、物理的なセキュリティを強化する必要があります。マルチチップ組み込みモジュールは、取り外したときに重要なセキュリティパラメータをゼロにする強力なエンクロージャに含まれている必要があります。ゼロ化とは、マシンの設定をゼロ値に変更することです。これにより、情報が変更または削除されます。このセキュリティレベルでは、IDベースの認証も使用されます。