Folgendes müssen Sie wissen: • BUOM
2. Dezember 2021
Cybersicherheitsprogramme tragen dazu bei, Computer und Telekommunikationssysteme vor Sicherheitsverletzungen zu schützen. Dies ist besonders wichtig im Fall sensibler Regierungsdaten. Um die Sicherheit ihrer Daten zu gewährleisten, hat die US-Regierung strenge Sicherheitsregeln oder FIPS 140-2-Regeln entwickelt, denen alle Cybersicherheitsprogramme folgen. Das Erlernen dieses Protokolls kann Ihnen dabei helfen, sich auf eine erfolgreiche Karriere in der Cybersicherheit vorzubereiten. In diesem Artikel erklären wir, was die FIPS-Richtlinien sind, wie der FIPS-Verifizierungsprozess funktioniert, was die Begriffe FIPS-Zertifizierung und FIPS-Konformität bedeuten und wie sich die beiden Klassifizierungen unterscheiden.
Was ist FIPS?
Federal Information Processing Standards (FIPS) sind strenge Sicherheitsstandards, die zum Schutz sensibler Daten und digitaler Dateien der US-Regierung beitragen. Eine Möglichkeit, diese Daten zu schützen, ist der Einsatz von Kryptografie. FIPS verfügt über vier Stufen von Sicherheitstests, von denen eine die am wenigsten sichere und vier die sicherste sind. Das National Institute of Standards and Technology (NIST) ist Teil des US-Handelsministeriums. NIST veröffentlicht FIPS-Richtlinien in einem Dokument namens FIPS 140-2 und überwacht Unternehmen auch, um die Einhaltung sicherzustellen.
Alle nichtmilitärischen Regierungsorganisationen auf nationaler, bundesstaatlicher oder lokaler Ebene sowie Unternehmen aus den Bereichen Gesundheitswesen, Energie, Transport, Fertigung und Finanzdienstleistungen halten sich an die FIPS-Regeln, wenn sie Kryptografie zum Schutz sensibler Daten einsetzen. Kryptographie umfasst Verschlüsselung, Entschlüsselung, digitale Signaturen und Authentifizierungsmethoden, die in der digitalen Kommunikation und im Internet verwendet werden. Auftragnehmer und Dienstleister müssen außerdem die FIPS-Sicherheitsstandards erfüllen, wenn sie mit einem Teil der Bundesregierung zusammenarbeiten, der Informationen sammelt, speichert, überträgt oder verbreitet, die die Regierung als vertraulich, aber nicht klassifiziert betrachtet.
Wie funktioniert der FIPS-Verifizierungsprozess?
Damit ein Sicherheitssystem die FIPS-Inspektion oder -Zertifizierung besteht, testet ein vom NIST zugelassenes Labor seine Hardware und Software. Anschließend ermittelt das Labor, ob das System den hohen FIPS-Sicherheitsstandards entspricht. Dieser Überprüfungsprozess dauert in der Regel sechs bis neun Monate.
Zu Beginn des Prozesses senden die Besitzer des Sicherheitssystems den digitalen Quellcode und detaillierte Informationen über das Sicherheitssystem an das Testlabor. Wenn das Labor Software-Sicherheitsprobleme feststellt, werden diese in der Regel von einem Fachmann behoben, bevor das Labor sie erneut überprüft. Wenn für einen Fix Codeänderungen erforderlich sind, überprüft das Labor den Code erneut, um sicherzustellen, dass keine neuen Fehler vorliegen. Wenn Sie ein Sicherheitsprodukt zur FIPS-Zertifizierung einreichen möchten, gehen Sie folgendermaßen vor:
1. Verstehen Sie das Sicherheitssystem
Um mit dem Vorgang zu beginnen, überprüfen Sie das Sicherheitssystem. Dies kann Ihnen dabei helfen, festzustellen, was möglicherweise für Labortests und -genehmigungen erforderlich ist. Diese verbesserungsbedürftigen Bereiche werden „kryptografische Grenzen“ genannt.
2. Machen Sie sich mit den FIPS-Richtlinien vertraut
Um festzustellen, ob Ihr Sicherheitssystem FIPS-konform ist, können Sie die FIPS-Richtlinien lesen. Dies kann Sie auf die Notwendigkeit einer Reparatur aufmerksam machen und Ihnen helfen, das System für die Genehmigung vorzubereiten. Wenn Sie sicherstellen, dass Ihr System die Anforderungen erfüllt, können Sie es auf die FIPS-Zertifizierung vorbereiten.
3. Dokumentieren Sie das System
Für jedes Cybersicherheitsprodukt stellt der Produkthersteller eine Sicherheitsrichtlinie bereit, die erklärt, um welches bestimmte Sicherheitssystem es sich handelt. Diese Richtlinie enthält in der Regel auch Informationen darüber, wie das Produkt verschiedenen FIPS-Richtlinien entspricht. Dazu können Sie ein Dokument erstellen, das Informationen zu 11 verschiedenen Bereichen des Systems enthält, darunter Ports, Design- und Berechtigungselemente sowie Schnittstellen.
4. Senden Sie das Sicherheitsprodukt an das Labor
Sobald alle notwendigen Reparaturen abgeschlossen und die Dokumentation abgeschlossen sind, können Sie das Produkt an ein vom NIST zugelassenes Labor, auch bekannt als kryptografisches Modultestlabor, einreichen. Dieses Labor testet das Sicherheitsprodukt und sucht nach möglichen Sicherheitsproblemen. Wenn es welche gibt, sendet es das Produkt an das Unternehmen zurück, für das Sie arbeiten, und gibt Ihnen die Möglichkeit, etwaige Probleme zu lösen und Änderungen vorzunehmen.
Anschließend können Sie es zum Testen an das Labor zurücksenden. Während der gesamte Prozess in der Regel etwa neun Monate dauert, kann es bis zu 16 Monate dauern, bis alle Tests abgeschlossen und etwaige Probleme behoben sind.
Warum ist die FIPS-Zertifizierung wichtig?
Wenn ein Unternehmen Computerausrüstung herstellt, verkauft oder verwendet oder mit einer Regierungsbehörde Geschäfte macht, muss sichergestellt werden, dass seine Computersysteme FIPS-zertifiziert sind. Die Regierung arbeitet in der Regel nur mit zertifizierten Produkten. Ebenso arbeiten Gesundheits- und Finanzorganisationen, die große Mengen sensibler digitaler Daten verarbeiten, oft nur mit FIPS-zertifizierten Sicherheitsprodukten und -systemen. Wenn das Unternehmen, für das Sie arbeiten, Cybersicherheitsprodukte für seine IT-Systeme kauft, kann die Wahl FIPS-zertifizierter Produkte auch dazu beitragen, die Sicherheit der Unternehmensdaten zu gewährleisten.
Was bedeutet es, FIPS-konform zu sein?
Der Begriff „FIPS-konform“ bedeutet, dass einige Komponenten einer Computersicherheitslösung den FIPS-Anforderungen entsprechen. Dies ist zwar eine positive Kennzeichnung für ein Produkt, bedeutet aber auch, dass das gesamte Produkt möglicherweise nicht alle FIPS-Richtlinien erfüllt. Wenn ein Produkt FIPS-konform ist, wurde es möglicherweise nicht von einem der vom NIST zugelassenen Labore getestet oder das Labor hat es möglicherweise noch nicht getestet.
Was bedeutet es, FIPS-zertifiziert zu sein?
Die FIPS-Zertifizierung oder FIPS-Verifizierung bedeutet, dass das Sicherheitssystem den FIPS-Standards entspricht. Ein zugelassenes Labor hat das gesamte System getestet und die erforderlichen Tests bestanden. Zu diesen Tests können schwache Sicherheitstests, das Testen von Client- und Serveranwendungen und das Testen von Dateiübertragungssoftware gehören.
FIPS-Zertifizierung und FIPS-Konformität
Der Hauptunterschied zwischen FIPS-zertifizierten und FIPS-klassifizierten Produkten ist das Sicherheitsniveau. Die Klassifizierung „FIPS-konform“ bedeutet ein geringeres Sicherheitsniveau als „FIPS-zertifiziert“, was bedeutet, dass es für ein Produkt oft viel einfacher ist, das Label „FIPS-konform“ zu erhalten. In einigen Fällen erklärt ein Unternehmen möglicherweise, dass sein Sicherheitssystem FIPS-konform ist, ohne Tests zur Überprüfung durchzuführen. In anderen Fällen testet und validiert das Labor möglicherweise nur bestimmte Teile des Sicherheitssystems. Dies bedeutet, dass FIPS-konforme Sicherheitssysteme möglicherweise nicht vollständig sicher sind und die Organisation, die diese Systeme verwendet, möglicherweise Sicherheitsverletzungen ausgesetzt ist.
Im Vergleich dazu bedeutet der Begriff „FIPS-zertifiziert“, dass das gesamte System die FIPS-Anforderungen erfüllt, nicht nur einige Teile davon. Ein FIPS-zertifiziertes Sicherheitssystem bietet wahrscheinlich ein höheres Maß an Datenschutz als ein FIPS-konformes System. Unternehmen, die für FIPS-zertifizierte Systeme werben, bieten in der Regel sicherere Produkte an, da nur Systeme, die strengen Tests unterzogen wurden, von NIST-zugelassenen Labors getestet werden und die FIPS-Zertifizierung erhalten.