Pentru a fi compatibil cu FIPS, o organizație trebuie să adere la diversele standarde de securitate a datelor și sisteme informatice prezentate în Standardele federale de procesare a informațiilor (FIPS).

Creat de divizia de securitate a computerului Institutului Național de Standarde și Tehnologie (NIST), FIPS a stabilit un standard de securitate a datelor și de sisteme informatice pe care organizațiile trebuie să îl respecte conform Legii federale privind gestionarea securității informațiilor din 2002 (FISMA). FISMA cere agențiilor guvernamentale federale din Statele Unite să reducă riscul tehnologiei informației la un nivel acceptabil la un cost rezonabil.

În 2014, FISMA a fost înlocuit de Legea federală de modernizare a securității informațiilor din 2014 (FISMA2014), care a lovit unele elemente din versiunea originală FISMA și a modificat-o pentru modificările nevoilor de securitate cibernetică și pentru supravegherea necesară. 186, 197, 198, 199, 200, 201 și 202.

• FIPS 140 acoperă modulul criptografic și cerințele de testare atât în hardware, cât și în software.
• FIPS 180 specifică modul în care organizațiile pot fi conforme cu FIPS atunci când utilizează algoritmi hash securizați pentru calcularea unui mesaj condensat.
• FIPS 186 este un grup de algoritmi pentru generarea unei semnături digitale.
• FIPS 197 este un standard care a creat Standardul de criptare avansată, care este un cifru accesibil publicului aprobat de Agenția Națională de Securitate (NSA) pentru informații de top secret.
• FIPS 198 se referă la un mecanism de autentificare a mesajelor care utilizează funcții hash criptografice.
• FIPS 199 standardizează modul în care agențiile federale clasifică și securizează sistemele de informații și informații pe care agenția le colectează sau le întreține .
• FIPS 200 este un standard care ajută agențiile federale cu gestionarea riscurilor prin niveluri de securitate a informațiilor bazate pe niveluri de risc.
• FIPS 201 specifică standardul de identificare comună pentru angajații și contractorii federali.
• FIPS 202 oferă specificațiile pentru algoritmul securizat Hash-3 (SHA- 3) familie de patru funcții hash criptografice și două funcții de ieșire extensibilă.

FIPS 140: „Secur Cerințe pentru modulele criptografice ”

Standardul FIPS 140 este utilizat în proiectarea, implementarea și operarea modulelor criptografice. Un modul criptografic este setul de hardware, software și / sau firmware care implementează funcții de securitate, cum ar fi algoritmi și generarea de chei. Standardul definește, de asemenea, metodele de testare și validare a modulelor.

Cerințele de securitate acoperă interfețele modulelor criptografice; securitate software și firmware; mediu de operare, securitate fizică; gestionarea parametrilor de securitate; autotesturi; atenuarea atacurilor; și roluri, servicii și autentificare. Departamentele și agențiile federale care operează module criptografice sau au contracte pentru ca modulele să fie operate pentru acestea trebuie să aibă modulele pe care le folosesc să treacă testele pentru aceste cerințe. Pe măsură ce nivelurile cresc, ele nu se construiesc neapărat peste cele anterioare. Un nivel superior trece prin teste suplimentare pentru cazul de utilizare al nivelului. Ceea ce se aplică unui modul de nivel 2 s-ar putea să nu se aplice unui modul de nivel 4. Modulele sunt validate în funcție de cât de bine îndeplinesc nevoile scenariilor în care vor fi utilizate.

Nivelul 1 este cel mai scăzut nivel de securitate. Acoperă caracteristicile de securitate de bază dintr-un modul criptografic. Sistemele de nivel 1 pot utiliza carduri cu circuit integrat; cu toate acestea, funcțiile software dintr-un computer personal tipic sunt acceptabile.

Nivelul 2 îmbunătățește aspectele de securitate fizică ale modulelor criptografice. Exemple de măsuri de securitate fizice necesare sunt acoperirile, sigiliile sau încuietorile rezistente la prelevare care nu prezintă manipulări. Autentificarea bazată pe roluri este inclusă în acest nivel de securitate și asigură că operatorul care accesează modulul este autorizat și este limitat la acțiunile atribuite. Nivelul 2 permite, de asemenea, criptografia software într-un mediu de sistem multi-utilizator. Acesta este locul în care mai mulți utilizatori accesează un singur sistem cu un singur sistem de operare (OS).

Nivelul 3 necesită o securitate fizică îmbunătățită, posibil cu produse disponibile din sectorul privat. Un modul încorporat cu mai multe cipuri trebuie să fie conținut într-o carcasă puternică care să reducă parametrii critici de securitate atunci când este eliminat. Zeroizarea este practica de a transforma setările mașinii la o valoare zero, care modifică sau șterge informațiile. Acest nivel de securitate folosește și autentificare bazată pe identitate.