Traffic Light Protocol (TLP): informatie op een veilige manier delen
Hoe werkt het Traffic Light Protocol ?
De verzender dient de TLP-aanduiding duidelijk bij de informatie aan te geven. Bijvoorbeeld in het onderwerp van een e-mail, aan het begin van een tekst of in de hoofd- en voetnoot van een document.
Het Traffic Light Protocol duidt aan de hand van de kleuren van een verkeerslicht of je informatie met anderen mag delen en zo ja, met wie.
- Bij een rood licht, ofwel TLP:RED mag de ontvanger of de ontvangers de informatie alleen delen met de informatieverstrekker en met de mede ontvangers.
- TLP:AMBER: geeft aan dat de informatie alleen gedeeld mag worden binnen de ontvangende organisatie of met diens klanten. Hierbij geldt het ‘‘need to know’-principe. De informatieverstrekker kan bij TLP:AMBER ook nog aanvullende beperkingen stellen.
- De markering TLP:GREEN geeft aan dat de informatie uitsluitend onder gelijksoortige organisaties binnen de brede gemeenschap of sector gedeeld mag worden. Je mag het bijvoorbeeld wel publiceren op een gesloten internetforum, maar niet op een openbaar toegankelijke website.
- TLP:CLEAR geeft aan dat er geen beperkingen aan de verspreiding zitten. Je mag de informatie publiekelijk delen.
De TLP-standaard wordt periodiek doorontwikkeld. Voor de geldende actuele versie en verdere details verwijzen wij u naar de TLP-standaard zelf. De laatste versie is te vinden op de website van First.
FAQ
Nee, in principe niet. Overleg met de afzender van het bericht om te bekijken wat er mogelijk is. Het zou kunnen dat een deel van de informatie wel deelbaar is, onder bepaalde voorwaarden. De initiële verstrekker moet expliciet om toestemming hiervoor worden gevraagd.
Neem dan contact op met de oorspronkelijke verzender.
TLP:RED wordt doorgaans niet schriftelijk of per email gedeeld, maar mondeling om met meer zekerheid de kennis van de informatie tot de groep ontvangers te beperken.
Nee, ontvangers mogen TLP:AMBER-informatie alleen delen met leden van hun eigen organisatie en met cliënten of klanten die een need-to-know hebben om zich te beschermen of verdere schade te voorkomen.
Need-to-know betekent hier dat je de informatie alleen mag delen met personen (binnen de eigen organisatie en/of met cliënten of klanten) die deze informatie nodig hebben om zich te beschermen of verdere schade te voorkomen.
De meest voorkomende aanvullende beperking is ‘Your organisation only’. Dit betekent dat de informatie alleen binnen de eigen organisatie van de ontvanger verspreid mag worden (op basis van need-to-know) en niet richting bijvoorbeeld cliënten/klanten. Andere vormen van beperking kunnen ook worden toegepast, de aanvullende omschrijving moet hier duidelijkheid over geven.
Dit betekent hier collega’s van andere organisaties in dezelfde sector of met dezelfde doelstellingen respectievelijk informatiefora of personen werkzaam in de netwerkbeveiliging en/of informatiebeveiliging. Het is dus niet de bedoeling dat je de informatie publiek maakt via openbaar toegankelijke kanalen (TLP:CLEAR).
Onder voorbehoud van de regels op het gebied van auteursrechten kan TLP:CLEAR-informatie onbeperkt worden verspreid (met inachtneming van de toepasselijke voorschriften en procedures voor openbaarmaking van informatie).
Nee, TLP is geen classificatie- of rubriceringsschema. TLP is niet ontworpen voor gebruik in licentievoorwaarden, noch voor de omgang met en versleuteling van informatie, noch voor het stellen van beperkingen ten aanzien van de acties gebaseerd op, of de omgang met gegevens. TLP-aanduidingen en de bijbehorende definities zijn niet bedoeld om in enige jurisdictie gevolgen te hebben ten aanzien van wetgeving inzake vrijheid van informatie of openbaarheid van bestuur.
Nee, TLP verschilt van de Chatham House Rule (wanneer een bijeenkomst, of een deel daarvan, wordt gehouden conform de Chatham House Rule, mogen de deelnemers de ontvangen informatie vrij gebruiken, maar mag de identiteit of herkomst van de spreker(s) of van andere deelnemers niet worden onthuld), maar hij kan gecombineerd worden met TLP wanneer dit door de deelnemers gepast wordt geacht.