Los Estándares Federales de Procesamiento de la Información (FIPS, por sus siglas en inglés) son un conjunto de estándares anunciados públicamente y destinados principalmente al uso de las agencias no militares del gobierno federal de los Estados Unidos y de los contratistas que trabajan con ellas. Definen requisitos técnicos y de procedimiento en áreas como la seguridad de la información, los formatos de datos, la criptografía y la gestión de identidades. Los documentos FIPS son publicados y mantenidos por el National Institute of Standards and Technology (NIST) y se citan ampliamente en adquisiciones, cumplimiento normativo y políticas federales.

Alcance y propósito

Los FIPS tienen como objetivo promover la interoperabilidad, la coherencia y un nivel mínimo de garantía en los sistemas federales de información. Algunos FIPS son obligatorios para las agencias del poder ejecutivo; otros sirven como orientación autorizada y se mencionan en reglamentos y contratos. Los estándares abarcan tanto temas programáticos de alto nivel (por ejemplo, cómo clasificar los sistemas de información) como requisitos técnicos detallados (por ejemplo, algoritmos criptográficos aprobados y criterios de validación de módulos).

Relación con otros estándares

Muchos FIPS son adaptaciones o formalizaciones de estándares ya utilizados en la comunidad técnica en general. Pueden incorporar o modificar especificaciones de organismos de normalización y consorcios industriales para satisfacer las necesidades federales. Entre las organizaciones cuyo trabajo suele ser citado o armonizado con los FIPS se incluyen IEEE y ISO. Cuando se requieren diferencias por motivos de seguridad, interoperabilidad o razones legales, un FIPS puede prevalecer sobre un estándar comercial aplicable o restringirlo para el uso federal.

Ejemplos notables

  • Serie FIPS 140 — estándares para validar módulos criptográficos utilizados para proteger información sensible pero no clasificada; especifican requisitos de diseño, documentación y prueba para la criptografía por hardware y por software.
  • FIPS 197 — especifica el Estándar de Cifrado Avanzado (AES) como algoritmo aprobado para uso federal.
  • Serie FIPS 180 — especifica algoritmos hash seguros (SHA) usados para la integridad y las firmas digitales.
  • FIPS 201 — define requisitos de Verificación de Identidad Personal (PIV) para tarjetas inteligentes federales y credenciales de identidad.
  • FIPS 199 — proporciona un marco para categorizar la información y los sistemas de información según su impacto en la seguridad.

Desarrollo, actualizaciones y estado

NIST desarrolla los FIPS mediante trabajo interno y revisión pública, a menudo consultando a expertos técnicos, partes interesadas federales y la industria. Un FIPS determinado puede ser revisado, sustituido o retirado; las publicaciones posteriores de NIST y las publicaciones especiales con frecuencia amplían o implementan los requisitos de los FIPS. Las agencias y los proveedores deben seguir el estado actual de un FIPS para determinar las obligaciones aplicables y las expectativas de prueba.

Usos e importancia práctica

Los FIPS desempeñan un papel central en la adquisición federal, la acreditación de sistemas y las evaluaciones de cumplimiento. Los contratistas, desarrolladores de productos y laboratorios dependen de los FIPS para los requisitos obligatorios y para los programas de validación de laboratorios. Aunque los FIPS se orientan a los sistemas federales, muchas organizaciones del sector privado también adoptan controles basados en FIPS para cumplir las expectativas de sus clientes o alinearse con socios gubernamentales. Los FIPS se diferencian de las especificaciones militares y de los estándares industriales puramente voluntarios por su alcance, autoridad y los procesos utilizados para aprobarlos y hacerlos cumplir.