TLP:WHITE

 
 

Informationsklassifizierung nach TLP

Die implementierung von Traffic Light Protocol (TLP) bei der Provectus Technologies GmbH ist angelehnt an den "FIRST Standards Definitions and Usage Guidance — Version 1.0" und der Implementierung von TLP beim BSI (Version 17-11)

Im Rahmen unserer Tätigkeiten ist der Austausch von nicht-öffentlichen und vertraulichen Informationen notwendig. Das Traffic Light Protocol (TLP) ist eine Vereinbarung zum Schutz dieser Informationen.

Um eine ungewollte Verbreitung oder Veröffentlichung von Informationen zu verhindern wird mit TLP eine klare Kennzeichnung eingeführt, welche die Bedingungen zur Weitergabe regelt.

Beteiligte beim Austausch von Informationen:

  • "Informationsersteller"
  • "Empfänger"
  • "Verteilerkreis"
  • "Organisation"
  • "Partner" (Organisationen mit einem vertraglichen Verhältnis zur Organisation des Empfängers)
  • "Dritte" (Organisationen ohne vertragliches Verhältnis zur Organisation des Empfängers)

Die Einschränkungen zur Weitergabe betreffen Empfänger, Verteilerkreis, Partner und Dritte.

Grundsätzlich gilt für die Weitergabe von Informationen, dass diese nur im Rahmen der geschäftlichen Erfordernisse und unter Beachtung vertraglicher Verpflichtungen (z.B. NDA) stattfinden darf.

TLP Stufen

TLP:RED Persönlich, nur für bekannte Empfänger

Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/ Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt.

TLP:AMBER Eingeschränkte organisationsinterne Verteilung

Informationen dieser Stufe dürfen innerhalb der Organisation des Empfänger und seiner Partner auf Basis des "Need to Know" Prinzips weitergeben werden. Die Weitergabe an Dritte ist untersagt. Es ist dabei sicherzustellen, dass der Verteilerkreis diese Klassifizierung kennt und die damit verbundenen Regeln einhält. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen.

TLP:GREEN Organisationsübergreifende Weitergabe

Informationen dieser Stufe dürfen innerhalb der Organisationen des Empfänger und Dritte frei weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden.

TLP:WHITE Uneingeschränkte Weitergabe

So gekennzeichnete Informationen dürfen uneingeschränkt an jeden, weitergegeben werden. Urheberrechtliche Aspekte müssen trotzdem eingehalten werden.

Einstufung und Kennzeichnung

Einstufungen sind klar zu kennzeichnen. Sie gelten in der Regel auch für Auszüge aus eingestuften Dokumenten oder Informationen. Zusätzliche Einschränkungen für den Verteilerkreis können durch den Informationsersteller ergänzend zur TLP-Stufe eingebracht werden. Die Kennzeichnung muss gut lesbar sein.

Werden mehrere Informationen unterschiedlicher TLP-Stufen zusammen gehandhabt, so sind sie entsprechend der höchsten vorliegenden TLP-Stufe zu behandeln.

Bei Nachrichten müssen Kennzeichnungen so erfolgen, dass sie für den Leser sofort deutlich erkennbar werden, z. B. als vorgestellter Text im Betreff oder der Nachricht einer E-Mail. Bei Dokumenten mit Seitenstruktur müssen die Kennzeichnungen in der Kopfzeile jeder Seite erscheinen.

Weitergabe an Dritte

Sollte eine Weitergabe an einen nicht durch die Einstufung genehmigten Empfängerkreis notwendig werden, so ist dieser vor einer eventuellen Weitergabe durch den Informationsersteller nachvollziehbar zu genehmigen. Bei ausnahmsweiser Weitergabe im Rahmen einer bestehenden gesetzlichen Verpflichtung ist der Informationsersteller – nach Möglichkeit vorab – zu informieren.

Vervielfältigung

Die Vervielfältigung von TLP:AMBER- und TLP:RED-Informationen muss auf das unbedingt notwendige Maß beschränkt werden. Vervielfältigungen sind genauso zu behandeln wie Originaldokumente einschließlich ihrer Kennzeichnung, Aufbewahrung, Weitergabe und Vernichtung.

Elektronische Übertragung

Informationen der Vertraulichkeitsstufen TLP:AMBER und TLP:RED müssen in der Regel bei elektronischer Übertragung angemessen verschlüsselt werden.

Aufbewahrung von Dokumenten

Elektronische Dokumente mit einer TLP-Stufe TLP:RED oder TLP:AMBER sollten in der Regel verschlüsselt aufbewahrt werden.

Papierdokumente der TLP-Stufen TLP:AMBER und TLP:AMBER müssen in einem verschlossenen Behältnis aufbewahrt werden.

Vernichtung, Löschung und Aussonderung

Festplatten, auf denen Informationen der TLP-Stufen TLP:AMBER oder TLP:RED gespeichert wurden, müssen vor Aussonderung sicher gelöscht oder – bevorzugt – irreversibel physisch vernichtet werden. Papierdokumente der TLP-Stufen TLP:AMBER oder TLP:RED müssen in geeigneten Aktenvernichtern vernichtet werden.

Kompromittierung von Informationen

Bereits beim Verdacht auf Kompromittierung von Informationen (Verlust usw.) sind umgehend der Informationsersteller zwecks Schadensminimierung über den Sachverhalt zu informieren.

TLP Kennzeichnung bei Provectus Technologies

Im folgenden werden weiterführende Formatinformationen die innerhalb der Organisation der Provectus Technologies GmbH eingehalten werden sollen konkretisiert.

Hintergrundfarbe: Schwarz / rgb 0,0,0 / #000000

TLP:RED rgb 255,0,51 #ff0033
TLP:AMBER rgb 255,192,0 #ffc000
TLP:GREEN rgb 51,255,0 #33ff00
TLP:WHITE rgb 255,255,255 #ffffff

Die TLP Bezeichner müssen in Großbuchstaben ohne Leerzeichen und mindestens Schriftgröße 12 angezeigt werden.

Die TLP Bezeichner sollten in der entsprechenden Farbe auf Schwarzem Hintergrund formatiert werden.

TLP Bezeichner in Emails

Bei Nutzung von TLP in Email Korrespondenz muss der TLP Bezeichner

  • in jedem Fall im Nachrichtenfeld vor der zu übermittelden Information angezeigt werden
  • optional zusätzlich im Betreff angezeigt werden
TLP Bezeichner in Dokumenten

Bei Nutzung von TLP in Dokumenten muss der TLP Bezeichner auf jeder Seite in mittig ausgerichtet in der Kopfzeile erscheinen

Die Organisation des Informationserstellers oder Eigentümers muss auf jeder Seite in der Fußzeile erkennbar sein

Weitergehende oder zusätzliche Einschränkungen müssen mindestens auf der ersten Seite ersichtlich sein

Weiterführende Informationen

Weiter Informationen zur Informationssicherheit und dem Datenschutz entnehmen sie bitte unserer Datenschutzerklärung (inkl. Datenschutzkonzept) oder Kontaktieren sie uns.