Публикация 140-2 Федерального стандарта обработки информации (FIPS)
Обзор стандарта FIPS 140-2
Публикация 140-2 Федерального стандарта обработки информации (FIPS) — это стандарт правительства США, который определяет минимальные требования к безопасности криптографических модулей в информационных технологических продуктах, как определено в разделе 5131 Закона о реформе управления информационными технологиями 1996 года.
Программа проверки криптографических модулей (CMVP), совместная работа Национального института стандартов и технологий США (NIST) и Канадского центра кибербезопасности (CCCS), проверяет криптографические модули в соответствии со стандартом требований безопасности для криптографических модулей (например, FIPS 140-2) и связанных стандартов шифрования FIPS. Требования к безопасности FIPS 140-2 охватывают 11 областей, связанных с проектированием и реализацией криптографического модуля. Лаборатория информационных технологий NIST управляет связанной программой, которая проверяет утвержденные FIPS криптографические алгоритмы в модуле.
Подход Корпорации Майкрософт к проверке FIPS 140-2
Корпорация Майкрософт активно привержена выполнению требований 140-2, проверяя криптографические модули с момента создания стандарта в 2001 году. Корпорация Майкрософт проверяет свои криптографические модули в рамках программы проверки криптографических модулей Национального института стандартов и технологий (NIST). Эти криптографические модули используются в нескольких продуктах Майкрософт, включая множество облачных служб.
Технические сведения о криптографических модулях Microsoft Windows, политике безопасности для каждого модуля и каталоге сведений о сертификатах CMVP см. в статье Windows и Windows Server FIPS 140-2.
Затрагиваемые облачные платформы и службы Майкрософт
В то время как текущее руководство по реализации CMVP FIPS 140-2 исключает проверку FIPS 140-2 для самой облачной службы; Поставщики облачных служб могут выбрать получение и эксплуатацию проверенных криптографических модулей FIPS 140 для вычислительных элементов, составляющих их облачную службу. Microsoft веб-службы, которые включают компоненты, которые были проверены FIPS 140-2, включают, среди прочего:
- Azure и Azure для государственных организаций
- правительство Dynamics 365 и Dynamics 365
- Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense
Azure, Dynamics 365 и FIPS 140-2
Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствии см. в статье Предложение Azure FIPS 140-2.
Office 365 и FIPS 140-2
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Office 365, GCC, GCC High, DoD | См. статью Проверка FIPS 140-2. |
Вопросы и ответы
В чем разница между fips 140 Validated и FIPS 140?
"FIPS 140 Validated" означает, что криптографический модуль или продукт, который внедряет модуль, был проверен (сертифицирован) CMVP как соответствующий требованиям FIPS 140-2. "Соответствие FIPS 140" — это отраслевой термин для ИТ-продуктов, которые используют проверенные продукты FIPS 140 для криптографических функций.
Когда корпорация Майкрософт выполняет проверку FIPS 140?
Частота запуска проверки модуля соответствует обновлениям компонентов Windows 10 и Windows Server. По мере развития индустрии программного обеспечения операционные системы выпускаются чаще, с ежемесячными обновлениями программного обеспечения. Корпорация Майкрософт выполняет проверку выпусков компонентов, но в период между выпусками стремится свести к минимуму изменения в криптографических модулях.
Какие компьютеры включены в проверку FIPS 140?
Корпорация Майкрософт проверяет криптографические модули на репрезентативном примере конфигураций оборудования под управлением Windows 10 и Windows Server. Общепринятая отраслевая практика принимает эту проверку FIPS 140-2, когда среда использует оборудование, что аналогично примерам, используемым для процесса проверки.
На веб-сайте NIST указано множество модулей. Разделы справки знать, какой из них относится к моему агентству?
Если требуется использовать криптографические модули, проверенные через FIPS 140-2, необходимо убедиться, что используемая версия отображается в списке проверки. CMVP и Корпорация Майкрософт поддерживают список проверенных криптографических модулей, упорядоченных по выпуску продукта, а также инструкции по определению модулей, установленных в системе Windows. Дополнительные сведения о настройке систем на соответствие требованиям см. в статье Windows и Windows Server FIPS 140-2.
Что означает "Когда работает в режиме FIPS" для сертификата?
Это предупреждение информирует читателя о том, что необходимо соблюдать необходимые правила конфигурации и безопасности, чтобы использовать криптографический модуль в соответствии с политикой безопасности FIPS 140-2. Каждый модуль имеет собственную политику безопасности — точную спецификацию правил безопасности, в соответствии с которыми он будет работать, — и использует утвержденные алгоритмы шифрования, управление криптографическими ключами и методы проверки подлинности. Правила безопасности определяются в политике безопасности для каждого модуля. Дополнительные сведения, включая ссылки на политику безопасности для каждого модуля, проверенного с помощью CMVP, см. в статье Windows и Windows Server FIPS 140-2.
Требуется ли проверка FIPS 140-2 для FedRAMP?
Да, Федеральная программа управления рисками и авторизацией (FedRAMP) основана на базовых показателях управления, определенных в NIST SP 800-53 редакции 4, включая защиту от шифрования SC-13 , которая требует использования криптографии, проверенной FIPS, или криптографии, утвержденной NSA.
Можно ли использовать соблюдение корпорацией Майкрософт fips 140-2 в процессе сертификации моего агентства?
Чтобы обеспечить соответствие fips 140-2, система должна быть настроена на запуск в режиме работы, утвержденном FIPS, который включает в себя обеспечение того, чтобы криптографический модуль использовал только алгоритмы, утвержденные FIPS. Дополнительные сведения о настройке систем на соответствие требованиям см. в статье Windows и Windows Server FIPS 140-2.
Какова связь между FIPS 140-2 и общими критериями?
Это два отдельных стандарта безопасности с разными, но взаимодополняющими целями. FIPS 140-2 предназначен специально для проверки программно-аппаратных криптографических модулей, а общие критерии предназначены для оценки функций безопасности в программном и аппаратном обеспечении ИТ. Оценки общих критериев часто используют проверки FIPS 140-2, чтобы обеспечить правильную реализацию основных функций шифрования.