Поделиться через


Публикация 140-2 Федерального стандарта обработки информации (FIPS)

Обзор стандарта FIPS 140-2

Публикация 140-2 Федерального стандарта обработки информации (FIPS) — это стандарт правительства США, который определяет минимальные требования к безопасности криптографических модулей в информационных технологических продуктах, как определено в разделе 5131 Закона о реформе управления информационными технологиями 1996 года.

Программа проверки криптографических модулей (CMVP), совместная работа Национального института стандартов и технологий США (NIST) и Канадского центра кибербезопасности (CCCS), проверяет криптографические модули в соответствии со стандартом требований безопасности для криптографических модулей (например, FIPS 140-2) и связанных стандартов шифрования FIPS. Требования к безопасности FIPS 140-2 охватывают 11 областей, связанных с проектированием и реализацией криптографического модуля. Лаборатория информационных технологий NIST управляет связанной программой, которая проверяет утвержденные FIPS криптографические алгоритмы в модуле.

Подход Корпорации Майкрософт к проверке FIPS 140-2

Корпорация Майкрософт активно привержена выполнению требований 140-2, проверяя криптографические модули с момента создания стандарта в 2001 году. Корпорация Майкрософт проверяет свои криптографические модули в рамках программы проверки криптографических модулей Национального института стандартов и технологий (NIST). Эти криптографические модули используются в нескольких продуктах Майкрософт, включая множество облачных служб.

Технические сведения о криптографических модулях Microsoft Windows, политике безопасности для каждого модуля и каталоге сведений о сертификатах CMVP см. в статье Windows и Windows Server FIPS 140-2.

Затрагиваемые облачные платформы и службы Майкрософт

В то время как текущее руководство по реализации CMVP FIPS 140-2 исключает проверку FIPS 140-2 для самой облачной службы; Поставщики облачных служб могут выбрать получение и эксплуатацию проверенных криптографических модулей FIPS 140 для вычислительных элементов, составляющих их облачную службу. Microsoft веб-службы, которые включают компоненты, которые были проверены FIPS 140-2, включают, среди прочего:

  • Azure и Azure для государственных организаций
  • правительство Dynamics 365 и Dynamics 365
  • Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense

Azure, Dynamics 365 и FIPS 140-2

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствии см. в статье Предложение Azure FIPS 140-2.

Office 365 и FIPS 140-2

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Office 365, GCC, GCC High, DoD См. статью Проверка FIPS 140-2.

Вопросы и ответы

В чем разница между fips 140 Validated и FIPS 140?

"FIPS 140 Validated" означает, что криптографический модуль или продукт, который внедряет модуль, был проверен (сертифицирован) CMVP как соответствующий требованиям FIPS 140-2. "Соответствие FIPS 140" — это отраслевой термин для ИТ-продуктов, которые используют проверенные продукты FIPS 140 для криптографических функций.

Когда корпорация Майкрософт выполняет проверку FIPS 140?

Частота запуска проверки модуля соответствует обновлениям компонентов Windows 10 и Windows Server. По мере развития индустрии программного обеспечения операционные системы выпускаются чаще, с ежемесячными обновлениями программного обеспечения. Корпорация Майкрософт выполняет проверку выпусков компонентов, но в период между выпусками стремится свести к минимуму изменения в криптографических модулях.

Какие компьютеры включены в проверку FIPS 140?

Корпорация Майкрософт проверяет криптографические модули на репрезентативном примере конфигураций оборудования под управлением Windows 10 и Windows Server. Общепринятая отраслевая практика принимает эту проверку FIPS 140-2, когда среда использует оборудование, что аналогично примерам, используемым для процесса проверки.

На веб-сайте NIST указано множество модулей. Разделы справки знать, какой из них относится к моему агентству?

Если требуется использовать криптографические модули, проверенные через FIPS 140-2, необходимо убедиться, что используемая версия отображается в списке проверки. CMVP и Корпорация Майкрософт поддерживают список проверенных криптографических модулей, упорядоченных по выпуску продукта, а также инструкции по определению модулей, установленных в системе Windows. Дополнительные сведения о настройке систем на соответствие требованиям см. в статье Windows и Windows Server FIPS 140-2.

Что означает "Когда работает в режиме FIPS" для сертификата?

Это предупреждение информирует читателя о том, что необходимо соблюдать необходимые правила конфигурации и безопасности, чтобы использовать криптографический модуль в соответствии с политикой безопасности FIPS 140-2. Каждый модуль имеет собственную политику безопасности — точную спецификацию правил безопасности, в соответствии с которыми он будет работать, — и использует утвержденные алгоритмы шифрования, управление криптографическими ключами и методы проверки подлинности. Правила безопасности определяются в политике безопасности для каждого модуля. Дополнительные сведения, включая ссылки на политику безопасности для каждого модуля, проверенного с помощью CMVP, см. в статье Windows и Windows Server FIPS 140-2.

Требуется ли проверка FIPS 140-2 для FedRAMP?

Да, Федеральная программа управления рисками и авторизацией (FedRAMP) основана на базовых показателях управления, определенных в NIST SP 800-53 редакции 4, включая защиту от шифрования SC-13 , которая требует использования криптографии, проверенной FIPS, или криптографии, утвержденной NSA.

Можно ли использовать соблюдение корпорацией Майкрософт fips 140-2 в процессе сертификации моего агентства?

Чтобы обеспечить соответствие fips 140-2, система должна быть настроена на запуск в режиме работы, утвержденном FIPS, который включает в себя обеспечение того, чтобы криптографический модуль использовал только алгоритмы, утвержденные FIPS. Дополнительные сведения о настройке систем на соответствие требованиям см. в статье Windows и Windows Server FIPS 140-2.

Какова связь между FIPS 140-2 и общими критериями?

Это два отдельных стандарта безопасности с разными, но взаимодополняющими целями. FIPS 140-2 предназначен специально для проверки программно-аппаратных криптографических модулей, а общие критерии предназначены для оценки функций безопасности в программном и аппаратном обеспечении ИТ. Оценки общих критериев часто используют проверки FIPS 140-2, чтобы обеспечить правильную реализацию основных функций шифрования.

Ресурсы