Sıkça Sorulan Sorular
FIPS 140-2 nedir?
FIPS (Federal Bilgi İşlem Standardı) 140-2, şifreleme ve IT BT ürünlerinin hassas, ama sınfılandırılmamış kullanım için uyması gereken ilgili güvenlik koşullarını tanımlayan ABD hükümeti standardıdır.
FIPS 140-2 neyi belirler?
Standart, bir ürünün şifreleme algortimaları ve yöntemleri gibi güvenilir güvenlik uygulamaları kullanmasını sağlar. Ayrıca, bireylerin veya diğer süreçlerin, ürünü kullanmak için nasıl yetkilendirilmesi gerektiğini ve modül ve bileşenlerin diğer sistemlere güvenli bir şekilde entegre olması için nasıl tasarlanmaları gerektiğini belirler.
Şifreleme neden gereklidir?
Sabit diskler sürekli olarak kullanılmaz duruma (garanti, bakım ve vadesi dolan kira sözleşmeleri sebebiyle geri gönderilme) gelir, kaybolur veya çalınır. Korunmayan veri sahibinin kontrolünden çıkarsa ve gizliliği ihlal olursa, şirket gelir, pazar payı ve müşteri güvenini kaybetme tehlikesiyle karşı karşıya kalır. Veri gizliliği düzenlemelerine uymadıkları için para cezası bile alabilirler. Böyle bir şey, herhangi bir kuruluş ve özellikle KOBİ'ler için felaket olabilir.
- Seagate, her gün, terabaytlarca veri içeren 50.000 diskin veri merkezlerinden çıktığını tahmin ediyor.
- IBM, garanti sebebiyle geri dönen disklerin yüzde 90'ının okunabilir veri içerdiğini tahmin ediyor.
Ponemon Institute gibi sektör uzmanlarına göre, her bir veri ihlalinin ortalamam maliyeti her yıl artıyor ve 2008'de ortalama 6,6 dolar veya gizliliği ihlal edilen kayıt başına 202 dolardı. 1
Ponemon Institute ayrıca, laptopların yüzde 81'inin hassas veri içerdiğini ve tüm laptopların yüzde 10 kadarının kullanım süreleri boyunca kaybolduğunu ya da çalındığını tahmin ediyor. Ayrıca, her hafta sadece ABD'deki havaalanlarında 12.000 diz üstü bilgisayar kaybolduğu ya da çalınıdığı tahmin ediliyor. Hassas ama şifrelenmemiş veri içeren bir diz üstü bilgisayar kaybolduğunda, bunun işletmeye getirdiği ortalama maliyet yaklaşık 50.000 dolardır. Aşırı durumlarda, maliyetleri 1 milyon dolara kadar çıkabilir.2
FIPS 140-2 ile ilişkilendirlen farklı seviyeler hangileridir?
FIPS 140-2 dört güvenlik seviyesini tanımlar FIPS 140-2 onayı, ürünün tabi olduğu güvenlik seviyesini belirleyecektir.
- Seviye 1, genellikle sadece yazılım şifreleme ürünlerinde kullanılır ve çok sınırlı güvenlik koşulları uygular. Tüm bileşenler üretim aşamasında olmalı ve kötü derecede çeşitli emniyetsizlikler olmamalıdır.
- Seviye 2işlev temellionaygerektirir (Bireysel kullanıcı onayı gerekmez) Ayrıca, fiziksel kilitler veya kurcalama karşıtı mühürler kullanarak, fiziksel kurcalamayı tespit eder
- Seviye 3, sökme ve değiştirmeye karşıfiziksel kurcalamadirenci eklerve hacklenmesini oldukça zor hale getirir. Kurcalama tespit edlirse, cihaz kritik güvenlik parametrelerini silebilmelidir. Seviye 3, ayrıca sağlam şifreleme koruması ve şifre yönetimikimliğe dayanan onaylama ve kritik güvenlik parametrelerinin girip çıkabileceği arayüzler arasında fiziksel veya mantıksal ayırmalar içerir.
- Seviye 4kurcalamaya karşı gelişmiş koruma içerir ve fizikzel olarak korumasız ortamlarda çalışan ürünler için tasarlanmıştır.
Seagate hangi seviyede FIPS 140-2 onayı almıştır?
Segate®Kendinden Şifreli Disk (SED) depolama cihazları, FIPS 140-2 Seviye 2'ye uyumlu olarak onay almıştır.
Seagate neden FIPS 140-2 Seviye 2'yi aldı?
Her tür kuruluş, beklemede olan verilerin kayıp ve hırsızlığa karşı korunması için şifrelenmesini talep etmektedir. FIPS 140-2 Seviye 2 onayı, güvenlik ve kalite işareti olarak görülür ve bütün alıcıları Seagate FIPS SED'lerinin, ABD federal hükümetinin güvenlik ürünleri için getirdiği koşullara uyduğuna temin eder.
Ne tür ürünler FIPS 140-2 ile bağlantılıdır?
FIPS 140-2, hassas veri depolayabilen veya iletebilen her türlü ürüne uygundur. Bu ürünler, bağlantı kriptoları, sabit diskler, flaş bellekler veya diğer çıkarılabilir depolama ortamları gibi ürünleri içerir. Aktarım sırasında ya da depolandığı sürece verileri şifreleyen yazılım ürünlerini de içerir.
Gerçekten bu kadar güvenliğe ihtiyacım var mı? İşletim sistemi parolası yeterli değil mi?
İşletim sistemi güvenliği, sabit disk çıkarılıp başka bir bilgisayara takılarak kolayca devre dışı bırakılabilir. BIOS ATA sabit disk parolalarının bile Seagate SED diski gibi bir şeyle kullanılmadıklarında tehlikeye açık oldukları görülmüştür. Sabit diskteki veya depolama ortamındaki veriyi şifrelemek, veriyi korumak için kesin olarak kanıtlanmış bir yoldur.
Hangi kuruluş veya işletmelerin FIPS 140-2 uygunluğuna ihtiyacı vardır?
ABD'de, Ulusal Standartlar ve Teknoloji Enstitüsü, tüm devlet kurumlarının bilgisayar ve telekomünikasyon sistemlerinde (sesli sitemler de dahil)Hassas ama Sınıflandırılmamış olaraktanımlanan verileri güvence altına almak içinFIPS 140-2 Seviye 2 Onaylı™ürünleri kullanmasını gerekli görüyor. 3Kanada'da, İletişim Güvenliği Kurumu (CSE), devlet kurumlarının, bilgisayar ve telekomünikasyon sistemlerinde (sesli sitemler de dahil) Korumalı Bilgi (A veya B) olarak adlandırılan verileri güvence altına almak için FIPS 140-2 Seviye 2 Onaylı kriptografik modüller kullanmasını gerekli görüyor. FIPS 140 onayı aynı zamanda, kriptografik bir ürünün, Kanada hükümeti ITS Ön Koşullu Ürünler Listesine girebilmesi için gerekli bir ön koşuldur. 3İngiltere'de, İletişim-Elektronik Güvenlik Grubu FIPS 140 Onaylı kriptografik modüllerin kullanılmasını öneriyor 4
ABD, FIPS 140-2 şifreleme uygunluğu gerektiren Kanada veya İngiltere federal hükümeti kuruluşlarına bağlı çalışan dünya çapındaki sivil şirketlerin de FIPS 140-2 ile uyumlu olması gerekir. Ek olarak ticari şirketler, özellikle de finans, sağlık, eğitim ve altyapı (ulusal güvenlik) mesleklerindekiler, tüm dünyada giderek artan bir biçimde FIPS 140-2 uyumu talep etmektedirler. Bu şirketler, veri korumada en yüksek standarda uymak istiyorlar. FIPS-140 onayına gösterilen özenin farkındalar, güvenlik açısından tercih edilen bir standart olduğunun düşünüyor ve kendi şifreleme ihtiyaçları için de bu standarda güveniyorlar.
FIPS 140-2 onayı nedir?
FIPS 140-2 onayı, ürünün FIPS 140-2 standardına uyduğunu gösteren bir test ve onay programıdır. NIST, bu gereklilikler karşısında ürünleri onaylamak amacıyla Kriptografik Modül Onay Programını (CMVP) oluşturmuştur.
FIPS 140-2 onayını almak için ne gereklidir?
FIPS 140-2 Validated™ olabilmek için, ürünün belirtilen tasarım ve uygulama koşullarına uygun olması ve NIST tara
Güncel olan FIPS 140 standardı hangisidir?
140 numaralı FIPS basımları kriptografi modülleri koşullarını belirleyen güvenlik standartları serisidir. FIPS 140-1 1994 yılında basıldı ancak 2001 yılında basılan ve güncel standart haline gelen FIPS 140-2 ilk standardın yerini aldı. FIPS 140-3, standardın 2005 yılından beri geliştirilmekte olan yeni sürümüdür. Aralık 2009'da bir taslak yayınlandı ancak yeni sürümün FIPS 140-2'nin yerini alması için muhtemelen bir iki yıl daha geçmesi gerekiyor.
FIPS 140-2 Validated ürünlerin bir listesi var mı?
NIST, FIPS 140-2 Validated olan bütün ticari ürünlerin listesini tutuyor. http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm adresine gidin.
FIPS 140-2 Seagate satış ortakları için bu kadar önemli?
Seagate satış ortakları, FIPS 140-2 onayını, diğer ürünlerde bulunmayan kalite ve kritik güvenlik özelliklerini göstermek amacıyla etkili bir pazarlama aracı olarak kullanabilirler. Bu, güvenliğe önem veren alıcılar için önemli bir ayırıcı etkendir.
Dipnotlar:
1 Ponemon Institute, 2008 Yıllık Çlaışma: A.B.D Veri İhlali Maliyeti, Şubat, 2009,www.ponemon.org, Veri ihlali maliyetleri artmakta, çalışma bulgularında gösterildiği gibi, Ellen Messmer, Network World, 02/02/09.
2 Intel Çalışması: Çalınan Laptoplar İş Maliyetine Neden Oluyor; eWeek, Nisan 23, 2009; Ponemon Institute Çalışması, Nisan 2009
3 http://csrc.nist.gov/groups/STM/cmvp/index.html/
4 www.cesg.gov.uk
Etiketle:
