Aby zachować zgodność ze standardem FIPS, organizacja musi przestrzegać różnych standardów bezpieczeństwa danych i systemów komputerowych określonych w federalnych standardach przetwarzania informacji (FIPS).

FIPS, utworzony przez Dział Bezpieczeństwa Komputerowego Narodowego Instytutu Standardów i Technologii (NIST), ustanowił standard bezpieczeństwa danych i systemów komputerowych, którego organizacje muszą przestrzegać zgodnie z ustawą federalną o zarządzaniu bezpieczeństwem informacji z 2002 roku (FISMA). FISMA wymaga od federalnych agencji rządowych Stanów Zjednoczonych ograniczenia ryzyka związanego z technologią informacyjną do akceptowalnego poziomu przy rozsądnych kosztach.

W 2014 roku FISMA została zastąpiona przez federalną ustawę o modernizacji bezpieczeństwa informacji z 2014 roku (FISMA2014), która wpłynęła na niektóre elementy z oryginalnej FISMA i poprawiła ją ze względu na zmiany w potrzebach w zakresie cyberbezpieczeństwa i wymaganego nadzoru.

Aby uzyskać zgodność ze standardem FIPS, amerykańska agencja rządowa lub systemy komputerowe wykonawcy muszą spełniać wymagania określone w publikacjach FIPS numer 140, 180, 186, 197, 198, 199, 200, 201 i 202.

• FIPS 140 obejmuje moduł kryptograficzny i wymagania testowe dotyczące zarówno sprzętu, jak i oprogramowania.
• FIPS 180 określa, w jaki sposób organizacje mogą być zgodne ze standardem FIPS, używając algorytmów bezpiecznego mieszania do obliczania skondensowanej wiadomości.
• FIPS 186 to grupa algorytmów do generowania podpisu cyfrowego.
• FIPS 197 to standard, który stworzył Advanced Encryption Standard, publicznie dostępny szyfr zatwierdzony przez National Security Agency (NSA) dla informacji ściśle tajnych.
• FIPS 198 dotyczy mechanizmu uwierzytelniania wiadomości, który wykorzystuje kryptograficzne funkcje skrótu.
• FIPS 199 standaryzuje sposób, w jaki agencje federalne kategoryzują i zabezpieczają informacje i systemy informacyjne gromadzone lub utrzymywane przez agencję .
• FIPS 200 to standard, który pomaga agencjom federalnym w zarządzaniu ryzykiem poprzez poziomy bezpieczeństwa informacji oparte na poziomach ryzyka.
• FIPS 201 określa standard wspólnej identyfikacji pracowników federalnych i wykonawców.
• FIPS 202 zawiera specyfikacje dla Secure Hash Algorithm-3 (SHA- 3) rodzina czterech kryptograficznych funkcji skrótu i dwóch rozszerzalnych funkcji wyjściowych.

FIPS 140: „Secur ity Requirements for Cryptographic Modules ”

Standard FIPS 140 jest stosowany przy projektowaniu, wdrażaniu i obsłudze modułów kryptograficznych. Moduł kryptograficzny to zestaw sprzętu, oprogramowania i / lub oprogramowania sprzętowego, który implementuje funkcje bezpieczeństwa, takie jak algorytmy i generowanie kluczy. Standard definiuje również metody testowania i walidacji modułów.

Wymagania bezpieczeństwa dotyczą interfejsów modułów kryptograficznych; bezpieczeństwo oprogramowania i oprogramowania sprzętowego; środowisko operacyjne, bezpieczeństwo fizyczne; zarządzanie parametrami bezpieczeństwa; autotesty; łagodzenie ataków; oraz role, usługi i uwierzytelnianie. Departamenty i agencje federalne, które obsługują moduły kryptograficzne lub mają umowy na ich obsługę, muszą mieć moduły, których używają, aby przejść testy dla tych wymagań.

FIPS 140 określa cztery poziomy bezpieczeństwa. Wraz ze wzrostem poziomów niekoniecznie budują one na poprzednich. Wyższy poziom przechodzi dodatkowe testy dla przypadku użycia poziomu. To, co ma zastosowanie do modułu poziomu 2, może nie mieć zastosowania do modułu poziomu 4. Moduły są weryfikowane na podstawie tego, jak dobrze spełniają potrzeby scenariuszy, w których będą używane.

Poziom 1 to najniższy poziom bezpieczeństwa. Obejmuje podstawowe funkcje bezpieczeństwa w module kryptograficznym. Systemy poziomu 1 mogą używać kart z układami scalonymi; jednakże funkcje oprogramowania w typowym komputerze osobistym są dopuszczalne.

Poziom 2 poprawia fizyczne aspekty bezpieczeństwa modułów kryptograficznych. Przykładami wymaganych fizycznych środków bezpieczeństwa są powłoki, plomby lub zamki odporne na włamanie. Uwierzytelnianie oparte na rolach jest zawarte w tym poziomie bezpieczeństwa i zapewnia, że operator uzyskujący dostęp do modułu jest upoważniony i ogranicza się do przypisanych mu działań. Poziom 2 umożliwia również kryptografię programową w środowisku systemowym z wieloma użytkownikami. To wtedy wielu użytkowników uzyskuje dostęp do jednego systemu z jednym systemem operacyjnym (OS).

Poziom 3 wymaga zwiększonego bezpieczeństwa fizycznego, potencjalnie z produktami dostępnymi z sektora prywatnego. Wbudowany moduł wieloukładowy musi być umieszczony w mocnej obudowie, która zeruje krytyczne parametry bezpieczeństwa po wyjęciu. Zerowanie to praktyka obracania ustawień maszyny do wartości zerowej, która zmienia lub usuwa informacje. Ten poziom bezpieczeństwa wykorzystuje również uwierzytelnianie oparte na tożsamości.