TLP:WHITE
Die Implementierung von Traffic Light Protocol (TLP) bei der Provectus Technologies GmbH ist angelehnt an den “FIRST Standards Definitions and Usage Guidance — Version 1.0” und der Implementierung von TLP beim BSI (Version 17-11)
Im Rahmen unserer Tätigkeiten ist der Austausch von nicht-öffentlichen und vertraulichen Informationen notwendig. Das Traffic Light Protocol (TLP) ist eine Vereinbarung zum Schutz dieser Informationen.
Um eine ungewollte Verbreitung oder Veröffentlichung von Informationen zu verhindern wird mit TLP eine klare Kennzeichnung eingeführt, welche die Bedingungen zur Weitergabe regelt.
Beteiligte beim Austausch von Informationen:
- “Informationsersteller”
- “Empfänger”
- “Verteilerkreis”
- “Organisation”
- “Partner” (Organisationen mit einem vertraglichen Verhältnis zur Organisation des Empfängers)
- “Dritte” (Organisationen ohne vertragliches Verhältnis zur Organisation des Empfängers)
Die Einschränkungen zur Weitergabe betreffen Empfänger, Verteilerkreis, Partner und Dritte.
Grundsätzlich gilt für die Weitergabe von Informationen, dass diese nur im Rahmen der geschäftlichen Erfordernisse und unter Beachtung vertraglicher Verpflichtungen (z.B. NDA) stattfinden darf.
TLP Stufen
TLP:RED Persönlich, nur für bekannte Empfänger
Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/ Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt.
TLP:AMBER Eingeschränkte organisationsinterne Verteilung
Informationen dieser Stufe dürfen innerhalb der Organisation des Empfänger und seiner Partner auf Basis des “Need to Know” Prinzips weitergeben werden. Die Weitergabe an Dritte ist untersagt. Es ist dabei sicherzustellen, dass der Verteilerkreis diese Klassifizierung kennt und die damit verbundenen Regeln einhält. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen.
TLP:GREEn Organisationsübergreifende Weitergabe
Informationen dieser Stufe dürfen innerhalb der Organisationen des Empfänger und Dritte frei weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden.
TLP:WHITe Uneingeschränkte Weitergabe
So gekennzeichnete Informationen dürfen uneingeschränkt an jeden, weitergegeben werden. Urheberrechtliche Aspekte müssen trotzdem eingehalten werden.
Einstufung und Kennzeichnung
Einstufungen sind klar zu kennzeichnen. Sie gelten in der Regel auch für Auszüge aus eingestuften Dokumenten oder Informationen. Zusätzliche Einschränkungen für den Verteilerkreis können durch den Informationsersteller ergänzend zur TLP-Stufe eingebracht werden. Die Kennzeichnung muss gut lesbar sein.
Werden mehrere Informationen unterschiedlicher TLP-Stufen zusammen gehandhabt, so sind sie entsprechend der höchsten vorliegenden TLP-Stufe zu behandeln.
Bei Nachrichten müssen Kennzeichnungen so erfolgen, dass sie für den Leser sofort deutlich erkennbar werden, z. B. als vorgestellter Text im Betreff oder der Nachricht einer E-Mail. Bei Dokumenten mit Seitenstruktur müssen die Kennzeichnungen in der Kopfzeile jeder Seite erscheinen.
Weitergabe an Dritte
Sollte eine Weitergabe an einen nicht durch die Einstufung genehmigten Empfängerkreis notwendig werden, so ist dieser vor einer eventuellen Weitergabe durch den Informationsersteller nachvollziehbar zu genehmigen. Bei ausnahmsweiser Weitergabe im Rahmen einer bestehenden gesetzlichen Verpflichtung ist der Informationsersteller – nach Möglichkeit vorab – zu informieren.
Vervielfältigung
Die Vervielfältigung von TLP:AMBER – und TLP:RED -Informationen muss auf das unbedingt notwendige Maß beschränkt werden. Vervielfältigungen sind genauso zu behandeln wie Originaldokumente einschließlich ihrer Kennzeichnung, Aufbewahrung, Weitergabe und Vernichtung.
Elektronische Übertragung
Informationen der Vertraulichkeitsstufen TLP:AMBER und TLP:RED müssen in der Regel bei elektronischer Übertragung angemessen verschlüsselt werden.
Aufbewahrung von Dokumenten
Elektronische Dokumente mit einer TLP-Stufe TLP:RED oder TLP:AMBER sollten in der Regel verschlüsselt aufbewahrt werden.
Papierdokumente der TLP-Stufen TLP:AMBER und TLP:RED müssen in einem verschlossenen Behältnis aufbewahrt werden.
Vernichtung, Löschung und Aussonderung
Festplatten, auf denen Informationen der TLP Stufen TLP:AMBER oder TLP:RED gespeichert wurden, müssen vor Aussonderung sicher gelöscht oder – bevorzugt – irreversibel physisch vernichtet werden. Papierdokumente der TLP-Stufen TLP:AMBER oder TLP:RED müssen in geeigneten Aktenvernichtern vernichtet werden.
Kompromittierung von Informationen
Bereits beim Verdacht auf Kompromittierung von Informationen (Verlust usw.) sind umgehend der Informationsersteller zwecks Schadensminimierung über den Sachverhalt zu informieren.
TLP Kennzeichnung bei Provectus Technologies
TLP Bezeichner in Emails
Bei Nutzung von TLP in E-Mail Korrespondenz muss der TLP Bezeichner
- TLP:RED immer vor der zu übermittelnden Information angezeigt werden
- in jedem Fall im Nachrichtenfeld der zu übermittelnden Information angezeigt werden
- optional zusätzlich im Betreff angezeigt werden
TLP Bezeichner in Dokumenten
Bei Nutzung von TLP in Dokumenten muss der TLP Bezeichner auf jeder Seite mittig ausgerichtet in der Kopfzeile erscheinen
Die Organisation des Informationserstellers oder Eigentümers muss auf jeder Seite in der Fußzeile erkennbar sein
Weitergehende oder zusätzliche Einschränkungen müssen mindestens auf der ersten Seite ersichtlich sein