Dati a riposo vs dati in archivio

2

Ho una domanda sulla conformità alle normative. Se sono obbligato ad avere dati a riposo protetti (criptati), cosa stanno cercando? I miei file di database dovrebbero essere crittografati o i dati a riposo si riferiscono alle mie attuali unità disco che sono completamente crittografate? O forse entrambi?

    
posta securityhound67 08.11.2016 - 15:47
fonte

2 risposte

2

Potresti chiedere al tuo avvocato aziendale di aiutarti a definire cosa significa in determinate circostanze.

Come per la solita definizione del termine "dati a riposo": significa "dati memorizzati che non sono attualmente accessibili". Quindi, ad esempio, i dati a riposo potrebbero essere dati seduti sui dischi rigidi di un server mentre il server è spento, oppure dati su nastri di backup, o dati seduti in un file che non è aperto da nessuno dei processi in esecuzione su un sistema e così via.

Quindi direi che ciò che devi fare è crittografare tutti i dati che rientrano nel requisito di essere protetti quando è a riposo. A seconda dei dati, potrebbe essere sufficiente crittografare semplicemente i contenuti di un database prima di memorizzarli nel database, oppure potrebbe essere necessario crittografare il file system su cui si trova il database.

Modifica : se hai appena crittografato il file system, ma non i dati dell'applicazione stessa, devi anche assicurarti che i backup dei dati delle applicazioni, che costituiscono anche dati a riposo, siano crittografato e così via.

Ad esempio, se si codificano solo i campi di testo in un database relazionale, ciò potrebbe non essere sufficiente, in quanto le relazioni tra i record sarebbero ancora accessibili. Se hai crittografato solo il tuo filesystem e poi hai eseguito il backup dei dati mentre il filesystem è stato montato e i dati in chiaro sono accessibili, devi anche crittografare il backup.

Come ho detto, è necessario che il consulente legale lo definisca; le tue circostanze potrebbero variare e security.stackexchange.com non è law.stackexchange.com.

    
risposta data 08.11.2016 - 16:01
fonte
0

Il fatto di avere dati protetti può fare riferimento sia alla riservatezza sia all'integrità. La crittografia può essere una risposta al primo ma non al secondo.

Questo è il motivo per cui le best practice raccomandano di avere archivi offline di dati sensibili in un centro diverso da quello in cui i dati vengono normalmente utilizzati. In questo modo, in caso di un grave disastro (terremoto, bombe, hacking), i dati possono essere ripristinati dalle copie offline.

    
risposta data 08.11.2016 - 17:55
fonte

Leggi altre domande sui tag