Uthibitishaji wa FIPS 140-2 ni wa lazima kwa matumizi katika idara za serikali ya shirikisho zinazokusanya, kuhifadhi, kuhamisha, kushiriki na kusambaza taarifa nyeti lakini zisizo za kawaida (SBU) Hii inatumika kwa shirikisho zote mashirika pamoja na wanakandarasi na watoa huduma wao, ikiwa ni pamoja na watoa huduma za mitandao na wingu.
Mahitaji ya FIPS 140-2 ni nini?
FIPS 140-2 inahitaji maunzi yoyote au sehemu ya kriptografia ya programu itekeleze algoriti kutoka kwa orodha iliyoidhinishwa. Algoriti zilizoidhinishwa za FIPS hujumuisha mbinu za usimbaji linganifu na zisizolingana pamoja na matumizi ya viwango vya heshi na uthibitishaji wa ujumbe.
Je, ninahitaji kufuata FIPS?
Idara na mashirika yote ya shirikisho lazima yatumie FIPS 180 ili kulinda taarifa nyeti ambayo haijaainishwa na maombi ya shirikisho. Algoriti salama za heshi zinaweza kutumika pamoja na algoriti zingine za kriptografia, kama vile misimbo ya uthibitishaji wa ujumbe wa keyed-hash au jenereta za nambari nasibu.
Kuna tofauti gani kati ya FIPS 140-2 na FIPS 140 3?
Wakati FIPS 140-2 na FIPS 140-3 zinajumuisha ingizo nne za kiolesura cha kimantiki, pato la data, ingizo la kudhibiti, na pato la hali … Badala ya kuhitaji usaidizi wa moduli kwa afisa wa crypto na majukumu ya mtumiaji na jukumu la urekebishaji kama la hiari, FIPS 140-3 inahitaji tu jukumu la afisa wa crypto.
Je, ninawezaje kuthibitisha kufuata kwa FIPS 140-2?
Kuna njia mbili za kuwahakikishia wasimamizi wako kwamba FIPS 140-2 inatekelezwa. Mojawapo ni kuajiri mshauri aliyebobea katika viwango, kama vile Rycombe Consulting au Corsec Security Kampuni hizi hutoa hati zinazohitajika kwa utaratibu wa uthibitishaji, ambazo unaweza kutumia kuthibitisha utekelezaji.
