¿Qué controles son necesarios para que los datos cifrados en reposo estén disponibles para los procesos autorizados y estén protegidos contra el uso no autorizado?

Las medidas de seguridad siempre tienen que ver con un control que protege o mitiga ciertas amenazas.

Para los datos en reposo, una amenaza es el robo de las unidades de almacenamiento físico que contienen los datos. Si el control es que los datos están encriptados, entonces los datos no se liberan como resultado de ese robo físico.

Otra amenaza es el acceso no autorizado mientras los datos se encuentran en el contexto del sistema de solución. Si el control es que los datos están cifrados, los usuarios no autorizados no pueden acceder a ellos. Los usuarios autorizados pueden proporcionar la clave de descifrado como parte de su sesión de inicio de sesión, de modo que los datos cifrados solo estén disponibles para ellos en el contexto de una sesión autorizada. Alternativamente, dependiendo del método de acceso, los datos podrían ser devueltos a usuarios autorizados en forma encriptada y descifrados localmente; esto proporciona protección contra el compromiso de las sesiones del servidor de datos.

Usted pregunta específicamente "Lo que no entiendo es cómo un sistema puede garantizar que los datos se cifren contra el acceso no autorizado, y que el acceso no autorizado no puede acceder también a la clave criptográfica que los sistemas necesitan para el acceso autorizado"

La respuesta es que los usuarios no autorizados no tienen acceso a la sesión de inicio de sesión dentro de la cual los usuarios autorizados proporcionan la clave de descifrado.