La norma definisce quattro livelli di sicurezza per i moduli crittografici impiegati nella protezione di un ampio insieme di dati (per esempio dati amministrativi di basso valore, trasferimenti di fondi di milioni di dollari, dati per la protezione di vite umane, dati personali e dati sensibili impiegati dai governi) e in diversi ambienti applicativi (per esempio una struttura sorvegliata da guardie, un ufficio, dei supporti di memorizzazione rimovibili e strutture non protette in alcun modo). La norma specifica quattro livelli di sicurezza di entità incrementale rispetto al precedente per ognuna delle 11 aree di requisiti.
La norma definisce requisiti di sicurezza specificatamente mirati a mantenere la sicurezza fornita da un modulo crittografico e la conformità con la norma non è sufficiente a garantire che uno specifico modulo sia sicuro o che la sicurezza fornita dallo stesso sia sufficiente e accettabile al proprietario dell'informazione da proteggere.