¿Qué es el Estándar de procesamiento de información federal (FIPS)?

FIPS (Estándar de Procesamiento de Información Federal) 140-2 es el punto de referencia para validar la eficacia del hardware criptográfico. Si un producto tiene un certificado FIPS 140-2, usted sabe que ha sido probado y validado formalmente por los gobiernos de EE. UU. y Canadá. Aunque FIPS 140-2 es un estándar federal de EE. UU. y Canadá, el cumplimiento de FIPS 140-2 se ha adoptado ampliamente en todo el mundo en los sectores gubernamentales y no gubernamentales como un punto de referencia de seguridad práctico y una mejor práctica realista.

FIPS Niveles 140-2

Las organizaciones utilizan el estándar FIPS 140-2 para garantizar que el hardware que seleccionan cumple con los requisitos de seguridad específicos. El estándar de certificación FIPS define cuatro niveles de seguridad cualitativos crecientes:

  • Nivel 1: Requiere equipos de producción y algoritmos probados externamente.
  • Nivel 2: Agrega requisitos para evidencia de manipulación física y autenticación basada en roles. Las implementaciones de software deben ejecutarse en un sistema operativo aprobado por los Criterios Comunes en EAL2.
  • Nivel 3: Agrega requisitos para evidencia de manipulación física y autenticación basada en identidad. También debe haber una separación física o lógica entre las interfaces por las cuales los “parámetros críticos de seguridad” entran y salen del módulo. Las claves privadas solo pueden ingresar o salir de forma encriptada.
  • Nivel 4: Este nivel hace que los requisitos de seguridad física sean más estrictos, lo que requiere la capacidad de estar activo contra la manipulación, borrando el contenido del dispositivo si detecta varias formas de ataque ambiental.

El estándar FIPS 140-2 permite técnicamente implementaciones de solo software en el nivel 3 o 4, pero aplica requisitos tan estrictos que ninguno ha sido validado.

Para muchas organizaciones, requerir la certificación FIPS en FIPS 140 nivel 3 es un buen compromiso entre seguridad efectiva, conveniencia operativa y opciones en el mercado.