Сертификация FIPS и соответствие FIPS: вот что вам нужно знать
2 декабря 2021 г.
Программы кибербезопасности помогают защитить компьютеры и телекоммуникационные системы от нарушений безопасности, и это особенно важно в случае конфиденциальных государственных данных. Чтобы обеспечить безопасность своих данных, правительство США разработало строгие правила безопасности, или правила FIPS 140-2, которым следуют все программы кибербезопасности. Изучение этого протокола может помочь вам подготовиться к успешной карьере в области кибербезопасности. В этой статье мы объясним, что такое рекомендации FIPS, как работает процесс проверки FIPS, что означают термины «сертификация FIPS» и «соответствие FIPS» и чем отличаются эти две классификации.
Что такое ФИПС?
Федеральные стандарты обработки информации (FIPS) — это строгие стандарты безопасности, которые помогают защитить конфиденциальные данные и цифровые файлы правительства США. Одним из способов защиты этих данных является использование криптографии. FIPS имеет четыре уровня проверки безопасности, один из которых является наименее безопасным, а четыре — наиболее безопасным. Национальный институт стандартов и технологий (NIST) является частью Министерства торговли США. NIST публикует рекомендации FIPS в документе под названием FIPS 140-2, а также контролирует компании для обеспечения их соответствия.
Любая государственная невоенная организация на национальном, государственном или местном уровне, а также медицинские, энергетические, транспортные, производственные и финансовые предприятия соблюдают правила FIPS при использовании криптографии для защиты конфиденциальных данных. Криптография включает в себя шифрование, дешифрование, цифровые подписи и методы аутентификации, используемые в цифровых коммуникациях и Интернете. Подрядчики и поставщики услуг также должны соответствовать стандартам безопасности FIPS, если они работают с какой-либо частью федерального правительства, которая собирает, хранит, передает или распространяет информацию, которую правительство считает конфиденциальной, но несекретной.
Как работает процесс проверки FIPS?
Чтобы система безопасности прошла проверку или сертификацию FIPS, лаборатория, одобренная NIST, тестирует ее аппаратное и программное обеспечение. Затем лаборатория определяет, соответствует ли система высоким стандартам безопасности FIPS. Этот процесс проверки обычно занимает от шести до девяти месяцев.
Чтобы начать процесс, владельцы системы безопасности отправляют в тестовую лабораторию ее цифровой исходный код и подробную информацию о ней. Если лаборатория обнаруживает какие-либо проблемы с безопасностью программного обеспечения, профессионал обычно устраняет их, прежде чем лаборатория снова проверит их. Когда для исправления требуются изменения в программном коде, лаборатория снова проверяет код, чтобы убедиться в отсутствии новых ошибок. Если вы хотите отправить продукт безопасности на сертификацию FIPS, выполните следующие действия:
1. Изучите систему безопасности
Чтобы начать процесс, изучите систему безопасности. Это может помочь вам определить, что может быть необходимо для тестирования и утверждения в лаборатории. Эти области, нуждающиеся в улучшении, называются «криптографическими границами».
2. Ознакомьтесь с рекомендациями FIPS
Чтобы определить, соответствует ли ваша система безопасности FIPS, вы можете ознакомиться с рекомендациями FIPS. Это может предупредить вас о необходимости ремонта и помочь вам подготовить систему к утверждению. Обеспечение соответствия системы требованиям может помочь вам подготовить ее к сертификации FIPS.
3. Задокументируйте систему
Для каждого продукта кибербезопасности производитель продукта представляет политику безопасности, в которой объясняется, что представляет собой конкретная система безопасности. Эта политика также обычно содержит сведения о том, как продукт соответствует различным рекомендациям FIPS. Для этого вы можете создать документ, который включает информацию об 11 различных областях системы, включая порты, элементы дизайна и авторизации и интерфейсы.
4. Отправьте продукт безопасности в лабораторию
После выполнения любого необходимого ремонта и подготовки документации вы можете отправить продукт в лабораторию, одобренную NIST, также называемую лабораторией тестирования криптографических модулей. Эта лаборатория тестирует продукт безопасности и ищет любые потенциальные проблемы безопасности. Если они есть, он отправляет продукт обратно в компанию, в которой вы работаете, что дает вам возможность решить любые проблемы и внести изменения.
Затем вы можете снова отправить его в лабораторию для тестирования. Хотя весь процесс обычно занимает около девяти месяцев, на выполнение всех тестов и устранение любых проблем может уйти до 16 месяцев.
Почему важна сертификация FIPS?
Если компания производит, продает или использует компьютерную технику, а также сотрудничает с государственной организацией, важно убедиться, что ее компьютерные системы сертифицированы FIPS. Правительство обычно работает только с сертифицированными продуктами. Точно так же медицинские и финансовые организации, которые работают с большим количеством конфиденциальных цифровых данных, часто работают только с продуктами и системами безопасности, сертифицированными FIPS. Если компания, в которой вы работаете, покупает продукты кибербезопасности для своих ИТ-систем, выбор продуктов, имеющих сертификат FIPS, также может обеспечить безопасность данных компании.
Что значит быть совместимым с FIPS?
Термин «совместимый с FIPS» означает, что некоторые компоненты решения компьютерной безопасности соответствуют требованиям FIPS. Хотя это положительная этикетка для продукта, это также означает, что весь продукт может не соответствовать всем рекомендациям FIPS. Если продукт соответствует требованиям FIPS, возможно, он не прошел тестирование в одной из лабораторий, одобренных NIST, или лаборатория еще не тестировала его.
Что значит быть сертифицированным FIPS?
Сертификация FIPS или проверка FIPS означает, что система безопасности соответствует стандартам FIPS. Утвержденная лаборатория протестировала систему в целом, и она прошла необходимые тесты. Эти тесты могут включать проверку слабой защиты, проверку клиентских и серверных приложений и тестирование программного обеспечения для передачи файлов.
Сертификация FIPS и соответствие FIPS
Ключевое различие между продуктами, сертифицированными по стандарту FIPS или классифицированными по стандарту FIPS, заключается в уровне безопасности. Классификация «FIPS-совместимый» означает более низкий уровень безопасности, чем «FIPS-сертифицированный», а это означает, что продукту часто гораздо проще получить ярлык «FIPS-совместимый». В некоторых случаях компания может объявить, что ее система безопасности соответствует требованиям FIPS, не проводя тестирования для проверки. В других случаях лаборатория может протестировать и подтвердить только определенные части системы безопасности. Это означает, что системы безопасности, совместимые с FIPS, могут быть не полностью безопасными, что потенциально может подвергнуть организацию, использующую эти системы, нарушениям безопасности.
Для сравнения, термин «сертифицированный FIPS» означает, что вся система соответствует требованиям FIPS, а не только некоторые ее части. Система безопасности, сертифицированная по стандарту FIPS, скорее всего, обеспечит более высокий уровень защиты данных, чем система, соответствующая стандарту FIPS. Компании, которые рекламируют системы, сертифицированные FIPS, обычно предлагают более безопасные продукты, поскольку только системы, прошедшие тщательное тестирование, проходят проверку в лабораториях, одобренных NIST, и получают сертификат FIPS.