Si está especificando los requisitos de que cierta clasificación de datos se cifre mientras está en reposo (en el almacenamiento), si se considera que se cumple el requisito si los datos se almacenan en un sistema activo (encendido) donde todos los medios de almacenamiento tienen disco completo cifrado?
El almacenamiento está encriptado y estará protegido si el sistema está apagado (ignoremos por el momento los ataques maliciosos de mucama o congelando la memoria para capturar la clave); sin embargo, mientras el sistema está encendido, los datos están en riesgo debido a la posibilidad de registradores clave, malware u otra exposición que puede resultar de problemas de seguridad causados por el hecho de que el sistema está simplemente activo.
Por ejemplo, si una computadora portátil tiene cifrado de disco completo y está encendida o está en modo de hibernación o suspensión, ¿deberían considerarse los datos encriptados? Esto tiene implicaciones para proteger los datos en el front-end y las consideraciones en los informes de violación de datos. Si un ladrón robó un sistema que no está totalmente apagado, puede que no sea posible obtener acceso interactivo directo debido a las restricciones de contraseña y los bloqueos de fuerza bruta, pero puede haber ataques a la red o al hardware que podrían permitir la explotación remota para obtener acceso local , y por lo tanto a los datos "encriptados".
Un caso más claro de encriptación en reposo sería desmontar un contenedor de encriptación o almacenar el archivo en un archivo zip encriptado (por supuesto, utilizando un algoritmo fuerte, como AES frente a la protección de contraseña más débil en los archivos zip básicos). Más obvio sería eliminar el disco duro o los medios conectados por USB donde se almacenan los datos. Debido a que los datos tendrían que estar activamente sin cifrar, esto parecería cumplir completamente los requisitos para el cifrado en reposo.
Por lo tanto, ¿qué factores deberían considerarse si se evalúa el cifrado completo del disco como el cumplimiento de los requisitos de datos de cifrado en reposo?