Informationsklassifizierung

nach TLP

Die Implementierung von Traffic Light Protocol (TLP) bei der Provectus Technologies GmbH ist angelehnt an den “FIRST Standards Definitions and Usage Guidance — Version 1.0” und der Implementierung von TLP beim BSI (Version 17-11)

Im Rahmen unserer Tätigkeiten ist der Austausch von nicht-öffentlichen und vertraulichen Informationen notwendig. Das Traffic Light Protocol (TLP) ist eine Vereinbarung zum Schutz dieser Informationen.

Um eine ungewollte Verbreitung oder Veröffentlichung von Informationen zu verhindern wird mit TLP eine klare Kennzeichnung eingeführt, welche die Bedingungen zur Weitergabe regelt.

Beteiligte beim Austausch von Informationen:

  • “Informationsersteller”
  • “Empfänger”
  • “Verteilerkreis”
  • “Organisation”
  • “Partner” (Organisationen mit einem vertraglichen Verhältnis zur Organisation des Empfängers)
  • “Dritte” (Organisationen ohne vertragliches Verhältnis zur Organisation des Empfängers)

Die Einschränkungen zur Weitergabe betreffen Empfänger, Verteilerkreis, Partner und Dritte.

Grundsätzlich gilt für die Weitergabe von Informationen, dass diese nur im Rahmen der geschäftlichen Erfordernisse und unter Beachtung vertraglicher Verpflichtungen (z.B. NDA) stattfinden darf.

TLP Stufen

 

TLP:RED 

Persönlich, nur für bekannte Empfänger Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/ Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt.

TLP:AMBER 

Eingeschränkte organisationsinterne Verteilung Informationen dieser Stufe dürfen innerhalb der Organisation des Empfänger und seiner Partner auf Basis des “Need to Know” Prinzips weitergeben werden. Die Weitergabe an Dritte ist untersagt. Es ist dabei sicherzustellen, dass der Verteilerkreis diese Klassifizierung kennt und die damit verbundenen Regeln einhält. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen.

TLP:GREEN 

Organisationsübergreifende WeitergabeInformationen dieser Stufe dürfen innerhalb der Organisationen des Empfänger und Dritte frei weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden.

TLP:WHITE 

Uneingeschränkte WeitergabeSo gekennzeichnete Informationen dürfen uneingeschränkt an jeden, weitergegeben werden. Urheberrechtliche Aspekte müssen trotzdem eingehalten werden.

Einstufung und Kennzeichnung

Einstufungen sind klar zu kennzeichnen. Sie gelten in der Regel auch für Auszüge aus eingestuften Dokumenten oder Informationen. Zusätzliche Einschränkungen für den Verteilerkreis können durch den Informationsersteller ergänzend zur TLP-Stufe eingebracht werden. Die Kennzeichnung muss gut lesbar sein.

Werden mehrere Informationen unterschiedlicher TLP-Stufen zusammen gehandhabt, so sind sie entsprechend der höchsten vorliegenden TLP-Stufe zu behandeln.

Bei Nachrichten müssen Kennzeichnungen so erfolgen, dass sie für den Leser sofort deutlich erkennbar werden, z. B. als vorgestellter Text im Betreff oder der Nachricht einer E-Mail. Bei Dokumenten mit Seitenstruktur müssen die Kennzeichnungen in der Kopfzeile jeder Seite erscheinen.

WEITERGABE AN DRITTE

Sollte eine Weitergabe an einen nicht durch die Einstufung genehmigten Empfängerkreis notwendig werden, so ist dieser vor einer eventuellen Weitergabe durch den Informationsersteller nachvollziehbar zu genehmigen. Bei ausnahmsweiser Weitergabe im Rahmen einer bestehenden gesetzlichen Verpflichtung ist der Informationsersteller – nach Möglichkeit vorab – zu informieren.

VERVIELFÄLTIGUNG

Die Vervielfältigung von TLP:AMBER– und TLP:RED-Informationen muss auf das unbedingt notwendige Maß beschränkt werden. Vervielfältigungen sind genauso zu behandeln wie Originaldokumente einschließlich ihrer Kennzeichnung, Aufbewahrung, Weitergabe und Vernichtung.

ELEKTRONISCHE ÜBERTRAGUNG

Informationen der Vertraulichkeitsstufen TLP:AMBER und TLP:RED müssen in der Regel bei elektronischer Übertragung angemessen verschlüsselt werden.

AUFBEWAHRUNG VON DOKUMENTEN

Elektronische Dokumente mit einer TLP-Stufe TLP:RED oder TLP:AMBER sollten in der Regel verschlüsselt aufbewahrt werden. Papierdokumente der TLP-Stufen TLP:AMBER und TLP:RED müssen in einem verschlossenen Behältnis aufbewahrt werden.

VERNICHTUNG, LÖSCHUNG UND AUSSONDERUNG

Festplatten, auf denen Informationen der TLP-Stufen TLP:AMBER oder TLP:RED gespeichert wurden, müssen vor Aussonderung sicher gelöscht oder – bevorzugt – irreversibel physisch vernichtet werden. Papierdokumente der TLP-Stufen TLP:AMBER oder TLP:RED müssen in geeigneten Aktenvernichtern vernichtet werden.

KOMPROMITTIERUNG VON INFORMATIONEN

Bereits beim Verdacht auf Kompromittierung von Informationen (Verlust usw.) sind umgehend der Informationsersteller zwecks Schadensminimierung über den Sachverhalt zu informieren.

TLP KENNZEICHNUNG BEI PROVECTUS TECHNOLOGIES

TLP Bezeichner in Emails

Bei Nutzung von TLP in E-Mail Korrespondenz muss der TLP Bezeichner

  •  TLP:RED immer vor der zu übermittelnden Information angezeigt werden
  • in jedem Fall im Nachrichtenfeld der zu übermittelnden Information angezeigt werden
  • optional zusätzlich im Betreff angezeigt werden

TLP Bezeichner in Dokumenten

Bei Nutzung von TLP in Dokumenten muss der TLP Bezeichner auf jeder Seite mittig ausgerichtet in der Kopfzeile erscheinen.

Die Organisation des Informationserstellers oder Eigentümers muss auf jeder Seite in der Fußzeile erkennbar sein.

Weitergehende oder zusätzliche Einschränkungen müssen mindestens auf der ersten Seite ersichtlich sein.

 

WEITERFÜHRENDE INFORMATIONEN

Weiter Informationen zur Informationssicherheit und dem Datenschutz entnehmen sie bitte unserer Datenschutzerklärung (inkl. Datenschutzkonzept) oder Kontaktieren sie uns.

Versionsinformationen
Version 1.2 : November 2022 : Anpassung,  Anforderungen :TLP Kennzeichnung bei Provectus Technologies
Version 1.1 : April 2020 : Anpassungen zu Formaten und Mindestanforderungen wurden den Technischen und Organisatorischen Möglichkeiten angeglichen
Version 1.0 : März 2019: initale Version