Traffic Light Protocol (TLP-codes)

De Informatiebeveiligingsdienst (IBD) maakt gebruik van een protocol om de vertrouwelijkheid van berichten te classificeren: het “Traffic Light Protocol,” kortweg TLP. Ook andere Computer Emergency Response Teams (CERT’s) maken hiervan gebruik.  

Wat is het?

TLP is ontworpen om het uitwisselen van informatie op een veilige manier te laten verlopen en aan te moedigen. Het protocol vereist dat wie informatie verstuurt er een kleurcode aan toekent. Deze kleur geeft aan of en op welke wijze deze informatie verder verspreid mag worden. Wie informatie ontvangt en meent dat bepaalde informatie op een grotere schaal verspreid moet kunnen worden, moet daarvoor eerst toestemming aan de afzender vragen. 

Waarom TLP gebruiken?

De IBD werkt nauw samen met verschillende (inter)nationale organisaties om (dreigende) incidenten op het gebied van informatiebeveiliging te coördineren. TLP zorgt voor een simpel en intuïtief schema om aan te duiden hoe gevoelig bepaalde informatie is en hoe deze gedeeld kan worden binnen de gemeenschap. 

Kleurcodes

De kleuren en hun betekenissen zijn als volgt:

  • CLEAR (voorheen WHITE) – Informatie die vrij verspreid mag worden, voor zover de verspreiding niet strijdig is met de wet zoals bijvoorbeeld de wet op het auteursrecht
    Bijvoorbeeld: links naar openbare informatie
  • GREEN – Informatie voor een gemeenschap, maar niet te verspreiden op het internet
    Bijvoorbeeld: het delen van info binnen een bepaalde sector zonder deze op internet of buiten de sector te verspreiden
  • AMBER – Beperkt verspreiden, informatie beperkt tot bepaalde personen van de organisatie of noodzakelijke partners.
    Bijvoorbeeld: info mag binnen de organisatie worden verspreid op een ‘need-to-know’ basis, maar bijvoorbeeld ook met een contactpersoon van de externe firewall leverancier van de organisatie. De afzender heeft het recht om de grenzen van deze verspreiding te bepalen 
  • AMBER+STRICT – Beperkt verspreiden, informatie beperkt tot bepaalde personen van de eigen organisatie.
    Bijvoorbeeld: info mag binnen de organisatie worden verspreid op een ‘need-to-know’ basis. De afzender heeft het recht om de grenzen van deze verspreiding te bepalen maar moet binnen de organisatie blijven. 
  • RED – Informatie uitsluitend bestemd voor de rechtstreeks geadresseerden
    Bijvoorbeeld: aanwezigen op een vergadering, een directe ontvanger van een sms, e-mail of post.