Apa itu FIPS 140-2?

FIPS (Federal Information Processing Standard) 140-2 adalah standar pemerintah AS yang menggambarkan enkripsi dan persyaratan keamanan terkait yang harus dipenuhi produk TI untuk penggunaan sensitif namun tidak rahasia.

Apa yang dijabarkan oleh FIPS 140-2?

Standar ini memastikan bahwa produk menggunakan praktik keamanan suara, seperti yang disetujui, algoritma dan metode enkripsi yang kuat. Standar ini juga menentukan cara memberi wewenang individu atau proses lainnya untuk memanfaatkan produk, dan cara merancang modul atau komponen untuk berinteraksi dengan sistem lain secara aman.

Mengapa enkripsi diperlukan?

Hard disk drive terus-menerus tidak digunakan lagi (dikembalikan untuk garansi, perbaikan dan perjanjian sewa berakhir, atau digunakan ulang untuk fungsi penyimpanan lain atau dijual), hilang atau dicuri. Ketika data yang tidak terlindungi berada di luar kontrol pemilik dan terancam, perusahaan menghadapi masalah kehilangan pendapatan, penguasaan pasar dan kepercayaan pelanggan. Mereka bahkan dapat dikenakan hukuman perdata karena melanggar peraturan privasi data. Hal ini dapat menjadi bencana bagi setiap organisasi, dan terutama untuk UKM.

  • Seagate memperkirakan ada 50.000 hard disk yang berisi terabyte data berada di luar pusat data harian.
  • IBM memperkirakan ada 90 persen hard disk yang dikembalikan untuk garansi berisi data yang dapat dibaca.

Menurut para ahli industri seperti Ponemon Institute, biaya rata-rata per pelanggaran data meningkat setiap tahun, dan rata-rata adalah US$6,6 juta pada tahun 2008, atau US$202 per catatan terancam.1

Ponemon Institute selanjutnya memperkirakan bahwa 81 persen dari laptop berisi data sensitif, dan sebanyak 10 persen dari semua laptop telah hilang atau dicuri selama masa hidupnya. Selain itu, diperkirakan setiap minggu ada 12.000 laptop yang hilang atau dicuri di bandara AS saja. Kerugian rata-rata yang dialami perusahaan ketika laptop yang berisi data yang sensitif namun tidak terenkripsi hilang hampir mencapai US$50.000. Dalam kasus yang ekstrem, biayanya bisa mencapai US$1 juta.2

Tingkat berbeda apa yang terkait dengan FIPS 140-2?

FIPS 140-2 menentukan empat tingkat keamanan. Validasi FIPS 140-2 akan menentukan level keamanan yang melekat pada produk.

  • Level 1, biasanya digunakan untuk produk enkripsi perangkat lunak saja, memberlakukan persyaratan keamanan yang sangat terbatas. Semua komponen harus memiliki kualitas kelas produksi dan tidak boleh ada berbagai jenis ketidakamanan yang sangat parah.
  • Level 2 memerlukan otentikasi berbasis peran. (Otentikasi pengguna individu tidak diperlukan.) Hal ini juga memerlukan kemampuan untuk mendeteksi gangguan fisik dengan menggunakan kunci fisik atau segel anti rusak.
  • Level 3 tambahan pertahanan dari kerusakan secara fisik dari pembongkaran atau modifikasi, sehingga sangat sulit dibajak. Jika terdeteksi perusakan, perangkat harus mampu menghapus parameter keamanan kritis. Level 3 juga mencakup perlindungan kriptografi yang kuat dan manajemen kunci, otentikasi berbasis identitas dan pemisahan fisik atau logis antara antarmuka dengan mana parameter keamanan kritis masuk dan pergi.
  • Level 4 termasuk perlindungan kerusakan terdepan dan dirancang untuk produk yang beroperasi di lingkungan yang tak terlindungi secara fisik.

 

 

Jenis produk apa yang sesuai dengan FIPS 140-2?

FIPS 140-2 berlaku bagi setiap produk yang mungkin menyimpan atau mengirimkan data sensitif. Ini termasuk produk perangkat keras seperti enkriptor tautan, hard disk, flash disk atau media penyimpanan yang dapat dilepas. Ini juga mencakup produk-produk perangkat lunak yang mengenkripsi data selama transit atau sewaktu disimpan.

Apakah saya benar-benar membutuhkan keamanan sebanyak ini? Apakah kata sandi sistem operasi tidak cukup?

Sistem keamanan operasi seperti kata sandi dapat dengan mudah dilewati dengan melepas hard disk dan memasangnya ke komputer lain. Bahkan kata sandi hard disk BIOS ATA ternyata rentan jika tidak digunakan bersama dengan perangkat seperti hard disk SED Seagate. Mengenkripsi data pada hard disk atau media penyimpanan adalah cara yang sudah terbukti untuk melindunginya.

Organisasi atau bisnis apa yang harus sesuai dengan FIPS 140-2?

Di AS, National Institute of Standards and Technology mengharuskan semua agen-agen federal untuk menggunakan produk FIPS 140-2 Level 2 Validated™ untuk mengamankan data yang ditetapkan sebagai Sensitif Namun Tidak rahasia dalam sistem komputer dan telekomunikasi (termasuk sistem suara). 3 Di Kanada, Communications Security Establishment (CSE) mengharuskan agen-agen federal untuk menggunakan modul kriptografi FIPS 140-2 Level 2 Validated untuk mengamankan data yang ditetapkan sebagai Informasi Dilindungi (A atau B) dalam komputer dan sistem telekomunikasi (termasuk sistem suara). Validasi FIPS 140 juga merupakan prekursor yang diperlukan untuk produk kriptografi untuk didaftar di Daftar Produk Pra-kualifikasi ITS pemerintah Kanada. 3 Di Inggris, Communications-Electronics Security Group merekomendasikan penggunaan modul kriptografi FIPS 140 Validated. 4

Perusahaan sipil di seluruh dunia yang memiliki hubungan dengan AS, Kanada atau organisasi pemerintah federal Inggris yang mengharuskan kepatuhan enkripsi FIPS 140-2 juga dituntut untuk patuh. Selain itu, perusahaan-perusahaan komersial, khususnya di bidang keuangan, kesehatan, pendidikan, dan vertikal infrastruktur (keamanan nasional)-semakin mewajibkan kepatuhan FIPS 140-2 di seluruh dunia. Perusahaan-perusahaan ini ingin mengikuti standar tertinggi dalam melindungi data. Mereka mengakui ketegasan yang berlaku dalam sertifikasi FIPS-140, menganggapnya sebagai standar pilihan untuk keamanan dan memilih untuk bergantung pada standar ini untuk kebutuhan enkripsi mereka sendiri.

Apa itu validasi FIPS 140-2?

Validasi FIPS 140-2 adalah pengujian dan program sertifikasi yang memverifikasi bahwa produk memenuhi standar FIPS 140-2. NIST membuat Cryptographic Module Validation Program (CMVP) untuk memvalidasi produk terhadap persyaratan-persyaratan ini.

Apa yang dibutuhkan untuk mendapatkan sertifikasi FIPS 140-2?

Untuk menjadi FIPS 140-2 Validated™, produk harus mematuhi desain yang dinyatakan dan persyaratan pelaksanaan, dan diuji dan disetujui oleh salah satu dari 13 laboratorium independen yang telah diakreditasi oleh NIST.

Standar FIPS 140 mana yang paling baru?

Publikasi FIPS berjumlah 140 adalah serangkaian standar keamanan yang menentukan persyaratan untuk modul kriptografi. FIPS 140-1 dikeluarkan pada tahun 1994 namun telah digantikan oleh FIPS 140-2, yang merupakan standar saat ini dan dikeluarkan pada tahun 2001. FIPS 140-3 adalah versi baru dari standar yang sudah dalam pengembangan sejak tahun 2005. Rancangan ini dikeluarkan pada bulan Desember 2009, namun kemungkinan akan membutuhkan waktu satu tahun atau lebih sebelum menggantikan FIPS 140-2.

Adakah daftar produk-produk yang Bervalidasi FIPS 140-2?

NIST menyimpan daftar semua produk yang tersedia secara komersial yang telah Bervalidasi FIPS 140-2. Kunjungi http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm .

LEAVE A REPLY

Please enter your comment!
Please enter your name here