TrafikkLysProtokollen - TLP

Publisert: 24.06.2014

Kontrollert deling av sensitiv informasjon mellom NorCERT og X

Last ned TLP-skjema her (.pdf)

Denne siden beskriver en protokoll for å foreta kontrollert håndtering og deling av informasjon mellom land, norske virksomheter, departementer, myndigheter, tilsyn, virksomheter med kritisk infrastruktur og andre nærliggende enheter involvert i beskyttelse av kritisk informasjon og infrastruktur.

Protokollen må sees i lys av øvrig gjeldende instrukser/regelverk, og offentlige virksomheter må supplere TLP merking av informasjon med hjemmelshenvisning til offentlighetsloven og eventuell gradering. 

Utgangspunktet for TrafikkLysProtokollen (TLP) er at informasjonseieren bestemmer hva andre kan gjøre med informasjonen ved å:

  1. merke informasjonen med et av fire nivåer, og

  2. sende informasjonen kun til personer eller virksomheter som samtykker i å

    håndtere informasjonen de mottar etter nivået som er markert. Informasjonseier velger hvilket nivå informasjonen skal markeres med, basert på en vurdering av hvor sensitiv informasjonen er og nødvendigheten av kontrollert spredning og håndtering av andre.

Informasjonen kan deles med andre virksomheter eller personer innen informasjonssikkerhetsmiljøet, men skal ikke publiseres eller legges ut på websider/åpne mailinglister.  

Nivå

Beskrivelse

Forutsetning

RØD

Informasjon kun til mottaker. Hvis det er nødvendig å gi informasjonen videre må mottaker ha informasjonseiers godkjennelse for å gi det til en navngitt person.

Eier vil ha kontroll over navngitte personer som har informasjonen.

GUL

Informasjon til mottakers virksomhet (inkl. konsulenter, outsourced personell som arbeider for virksomheten) som har en need to know og gyldig taushetserklæring for å gjøre de nødvendige tiltakene. Hvis mottaker ønsker å gi informasjonen til andre virksomheter, må de ha informasjonseiers godkjennelse for å gi det til en navngitt virksomhet.

Eier vil ha kontroll over navngitte virksomhetersom har informasjonen.

GRØNN

Informasjonen kan deles med andre virksomheter eller personer innen informasjonssikkerhetsmiljøet, men skalikke publiseres eller legges ut på websider/åpne mailinglister.

Eier vil ikke ha kontroll over spredningen, men forutsetter at ingen mottaker publiserer informasjonen.

HVIT

Informasjonen er offentlig tilgjengelig, publiseres, og spres til publikum. Enhver kontaktperson kan publisere informasjonen.

Eier av informasjonen forventer at informasjonen
offentliggjøres.