Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Education Center
    2. Regelgeving, normen en naleving

Wat is FIPS? Hoe voldoet u aan FIPS?

Posted byDivyansh Dwivedi 5 Minuten
Inhoudsopgave

Het veilig houden van gevoelige gegevens, zoals persoonlijk identificeerbare informatie (PII), in elke fase van hun levenscyclus is een belangrijke taak voor elke organisatie. Om dit proces te vereenvoudigen, zijn er standaarden, regelgeving en best practices ontwikkeld om gegevens beter te beschermen. De Federal Information Protection Standard, of FIPS, is een van deze standaarden. Deze standaarden zijn ontwikkeld door de Nationaal Instituut voor Wetenschap en Technologie (NIST) Om overheidsgegevens te beschermen en ervoor te zorgen dat iedereen die met de overheid werkt, zich aan bepaalde veiligheidsnormen houdt voordat ze toegang krijgen tot gegevens. FIPS heeft een aantal normen gepubliceerd, maar dit artikel bespreekt FIPS 140-2.

Wat is FIPS 140-2?

FIPS 140-2 is een standaard die betrekking heeft op cryptografische modules en de modules die organisaties gebruiken om data in rust en data tijdens transport te versleutelen. Om te voldoen aan cryptografische standaarden, schrijft FIPS 140-2 het gebruik van FIPS 140-2-compatibele algoritmen voor dataversleuteling voor. FIPS 140-2 kent 4 beveiligingsniveaus, waarbij niveau 1 het minst veilig is en niveau 4 het meest veilig.

  • FIPS 140-2 niveau 1 – Niveau 1 heeft de eenvoudigste vereisten. Het vereist apparatuur van productiekwaliteit en ten minste één getest encryptiealgoritme. Dit moet een werkend, 140-2 gevalideerd encryptiealgoritme zijn, wat betekent dat het grondig is getest en goedgekeurd voor gebruik.
  • FIPS 140-2 niveau 2 – Niveau 2 legt de lat iets hoger en vereist alle eisen van niveau 1, plus op rollen gebaseerde authenticatie en fraudebestendige fysieke apparaten. Het moet ook draaien op een besturingssysteem dat is goedgekeurd door Common Criteria op EAL2-niveau.
  • FIPS 140-2 niveau 3 FIPS 140-2 niveau 3 is het niveau waaraan de meeste organisaties voldoen, omdat het veilig is, maar niet moeilijk te gebruiken vanwege die beveiliging. Dit niveau neemt alle vereisten van niveau 2 over en voegt daar sabotagebestendige apparaten aan toe, een scheiding van de logische en fysieke interfaces die "kritieke beveiligingsparameters" bevatten die het systeem binnenkomen of verlaten, en authenticatie op basis van identiteit. Privésleutels die het systeem verlaten of binnenkomen, moeten ook worden versleuteld met FIPS 140-2-compatibele algoritmen, zoals AES, 3DES, RSA, DSA, ECDSA, enz., voordat ze naar of van het systeem kunnen worden verplaatst.
  • FIPS 140-2 niveau 4 – Het meest beveiligde niveau van FIPS 140-2 hanteert dezelfde eisen als niveau 3 en vereist dat het conforme apparaat fraudebestendig is en dat de inhoud van het apparaat kan worden gewist als bepaalde aanvallen vanuit de omgeving worden gedetecteerd. Een ander aandachtspunt van FIPS 140-2 niveau 4 is dat de besturingssystemen die door de cryptografische module worden gebruikt, veiliger moeten zijn dan op eerdere niveaus. Als meerdere gebruikers een systeem gebruiken, gelden er nog hogere eisen voor het besturingssysteem.

Aanpasbare HSM-oplossingen

Profiteer van HSM-oplossingen en -services met hoge betrouwbaarheid om uw cryptografische sleutels te beveiligen.

Boek een adviesgesprek

Waarom is FIPS 140-2-compatibel?

Een van de vele redenen om FIPS-compatibel te worden, is de eis van de overheid dat elke organisatie die met hen samenwerkt, FIPS 140-2-compatibel moet zijn. Deze eis garandeert dat overheidsgegevens die door externe organisaties worden verwerkt, veilig worden opgeslagen en versleuteld met de juiste mate van vertrouwelijkheid, integriteit en authenticiteit. Bedrijven die cryptografische modules willen ontwikkelen, zoals nCipher of Thales, moeten FIPS-compatibel worden als ze willen dat de overgrote meerderheid van de bedrijven, met name de overheid, hun apparaat gebruikt. Veel organisaties hebben een beleid ontwikkeld om FIPS 140-2-compatibel te worden, omdat dit hun organisatie en diensten veiliger en betrouwbaarder maakt.

Een andere reden om FIPS-compatibel te zijn, zijn de strenge tests die zijn uitgevoerd om de kracht achter de vereisten van FIPS 140-2 te verifiëren. De vereisten voor elk niveau van FIPS 140-2 zijn geselecteerd na diverse tests op vertrouwelijkheid, integriteit, onweerlegbaarheid en authenticiteit. Omdat de overheid over een van de meest gevoelige gegevens van het land beschikt, moeten apparaten, diensten en andere producten die zij gebruikt te allen tijde op het hoogste beveiligingsniveau zijn. Het gebruik van diensten of software zonder deze geteste methoden kan leiden tot een enorme inbreuk op de beveiliging, met problemen voor iedereen in het land.

Voor wie is FIPS-compatibel?

De belangrijkste organisaties die moeten voldoen aan FIPS 140-2 zijn federale overheidsorganisaties die gevoelige gegevens, zoals persoonlijk identificeerbare informatie, verzamelen, opslaan, delen, overdragen of verspreiden. Alle federale instanties, hun contractanten en dienstverleners moeten eveneens voldoen aan FIPS. Bovendien moeten alle systemen die in een federale omgeving worden geïmplementeerd, ook voldoen aan FIPS 140-2. Dit geldt ook voor de encryptiesystemen die worden gebruikt door Cloud Service Providers (CSP's), computeroplossingen, software en andere gerelateerde systemen. Dit betekent dat alleen die services, apparaten en software die FIPS-compatibel zijn, überhaupt in aanmerking komen voor gebruik door de federale overheid. Dit is een van de redenen waarom zoveel technologiebedrijven ervoor willen zorgen dat ze voldoen aan FIPS 140-2.

FIPS-compliance wordt wereldwijd erkend als een van de beste manieren om de veiligheid van cryptografische modules te garanderen. Veel organisaties volgen FIPS om ervoor te zorgen dat hun eigen beveiliging op hetzelfde niveau ligt als die van de overheid. Veel andere organisaties worden FIPS 140-2 compliant zijn om hun producten en diensten te distribueren, niet alleen in de Verenigde Staten, maar ook internationaal. Omdat FIPS wereldwijd erkend wordt, wordt elke organisatie die FIPS-compatibel is, gezien als een betrouwbare leverancier van diensten, producten en software. Sommige sectoren, zoals de productie-, gezondheidszorg- en financiële sector, evenals lokale overheden, vereisen ook FIPS 140-2-compliance.

Windows FIPS-modus

De Windows FIPS-modus is een configuratie-instelling in Windows-besturingssystemen die het gebruik van FIPS 140-2-geverifieerde cryptografische methoden vereist. Wanneer deze modus is ingeschakeld, garandeert dit dat encryptie- en decryptieprocedures alleen geautoriseerde cryptografische methoden en sleutellengtes gebruiken.

Wat is de FIPS-code?

Een FIPS-code is een numerieke code die geografische gebieden in de Verenigde Staten eenduidig ​​identificeert. Het aantal cijfers in FIPS-codes varieert afhankelijk van het geografische niveau. FIPS-codes op staatsniveau bestaan ​​uit twee cijfers, terwijl FIPS-codes op countyniveau uit vijf cijfers bestaan, waarvan de eerste twee de FIPS-code van de staat zijn waartoe de county behoort. Bijvoorbeeld: een FIPS-code van 06071 staat voor Californië (-06) en San Bernardino County (-071).

Bestudeer

Meer onderwerpen