Traffic Light Protocol

Traffic Light Protocol (TLP) byl původně vytvořen na počátku roku 2000 Národním koordinačním centrem pro bezpečnost národní infrastruktury vlády Spojeného království (NISCC, nyní Středisko ochrany národní infrastruktury – CPNI),[1][2] aby povzbudilo[3][4] větší sdílení citlivých informací.

Základním konceptem je, aby původce určil, do jaké míry chce, aby jeho informace byly šířeny mimo bezprostředního příjemce. Je navržen tak, aby kontrolovaným a důvěryhodným způsobem zlepšoval tok informací mezi jednotlivci, organizacemi nebo komunitami. Je důležité, aby každý, kdo se seznamuje s informací označenou TLP, rozuměl a dodržoval pravidla tohoto protokolu. Teprve poté lze vybudovat důvěru a realizovat výhody sdílení informací. TLP je založen na konceptu označování informací jednou ze čtyř barev původcem, aby naznačil, jaké další šíření, může příjemce provést. Pokud je vyžadováno širší šíření, musí příjemce získat povolení od původce.

Existuje několik specifikací pro TLP:

  • ISO/IEC, jako součást standardu o řízení bezpečnosti informací pro mezisektorové a mezioborové komunikace[5]
  • US-CERT, který poskytuje veřejně dostupnou jednoduchou definici[6]
  • FIRST, které zveřejnilo verzi 1.0 svého dokumentu TLP 31. srpna 2016,[7] a verzi 2.0 v roce 2022[8] aby zajistila, že interpretace TLP jsou konzistentní a jasné v různých komunitách uživatelů.

V českém právním řádu se tento protokol používá jako vodítko při hodnocení důvěrnosti aktiv ve Vyhlášce o kybernetické bezpečnosti.[9]

Shrnutí čtyř barev TLP a jejich významEditovat

Existují čtyři barvy (neboli „barvy na semaforu“), označující důvěrnost informace. V českém jazyce se využívá anglického označení a název protokolu ani jednotlivé barvy se nepřekládají.

  • RED (červená) – pouze pro určené příjemce
Například v souvislosti se schůzkou jsou informace RED omezeny na osoby přítomné na schůzce. Distribuce informací označených jako RED bude obecně probíhat prostřednictvím definovaného seznamu příjemců a za extrémních okolností může být předávána pouze ústně nebo osobně.
  • AMBER (oranžová) – omezená distribuce
Příjemce může sdílet informace AMBER s ostatními v rámci své organizace a s partnery organizace, ale pouze na základě principu nezbytné znalosti („need-to-know“). Od původce lze očekávat, že stanoví zamýšlené limity tohoto sdílení. Od verze 2.0 (2022) je možné použít také[8] AMBER+STRICT omezuje sdílení pouze na organizaci.
  • GREEN (zelená) – komunita
Informace v této kategorii mohou být šířeny v rámci určité komunity. Informace však nesmí být zveřejněny na internetu ani zveřejněny mimo komunitu.
  •   CLEAR   (bez omezení, dříve WHITE, bílá) – neomezeno[8]
S výhradou standardních pravidel autorských práv mohou být CLEAR informace distribuovány volně, bez omezení.

Příklady použitíEditovat

V praxi se bude informace pomocí tohoto protokolu označovat značkou TLP: následované příslušnou úrovní RED, AMBER, GREEN nebo WHITE.

Označení e-mailuEditovat

V případě zasílání informace v e-mailu by měla být značka uvedena přímo v jeho předmětu a to pomocí verzálek.

Označení v dokumentuEditovat

 
Ukázka označení dokumentu v hlavičce značkou TLP:WHITE

U tištěného nebo i elektronického dokumentu by značka měla být uvedena v hlavičče i patičce všech stránek pomocí verzálek. Velikost písma by měla být minimálně 12 bodů.

Příklady předávaných informacíEditovat

Příklady bezpečnostního týmu k organizaci s odlišením důvěrnosti komunikované informace:

  • TLP:RED: Od zahraničních partnerů jsme získali informaci, že útočník má přístup do vaší sítě a plánuje spustit ransomware útok. Doporučujeme tedy provést následující protiopatření…
  • TLP:AMBER: Z našich zjištění vyplývá, že je ve vaší síti používána zranitelná verze firewallu. Doporučujeme co nejdříve provést jeho aktualizaci. Tuto informaci můžete předat správci nebo dodavateli FW. TLP:AMBER+STRICT: Tuto informaci nemůžete předat dodavateli.
  • TLP:GREEN: V České republice nyní probíhá phishingová kampaň zaměřující se na zdravotnická zařízení, poučte své uživatele na možná rizika.
  • TLP:CLEAR: Náš bezpečnostní tým za poslední rok řešil 126 incidentů, z toho 26 závažných.

ReferenceEditovat

V tomto článku byl použit překlad textu z článku Traffic Light Protocol na anglické Wikipedii.

  1. Eric Luiijf; Allard Kernkamp. Sharing Cyber Security Information [online]. Toegepast Natuurwetenschappelijk Onderzoek, 2015-03-01 [cit. 2016-10-25]. Dostupné online. (anglicky) 
  2. Don Stikvoort. ISTLP - Information Sharing Traffic Light Protocol [online]. National Infrastructure Security Co-ordination Centre, 2009-11-11 [cit. 2016-10-25]. Dostupné online. (anglicky) 
  3. Development of Policies for Protection of Critical Information Infrastructures [online]. Organizace pro hospodářskou spolupráci a rozvoj [cit. 2015-11-19]. Dostupné online. 
  4. 'Re: OpenSSH security advisory: cbc.adv' - MARC [online]. [cit. 2012-11-25]. Dostupné online. (anglicky)  (alternativní zdroj SecurityFocus archive entry)
  5. ISO/IEC 27010:2015 [ISO/IEC 27010:2015] | Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications [online]. Mezinárodní organizace pro normalizaci/Mezinárodní elektrotechnická komise, 2015 [cit. 2019-12-31]. Dostupné online. (anglicky) 
  6. Traffic Light Protocol (TLP) Definitions and Usage [online]. United States Department of Homeland Security [cit. 2019-12-31]. Dostupné online. (anglicky) 
  7. FIRST announces Traffic Light Protocol (TLP) version 1.0 [online]. Forum of Incident Response and Security Teams [cit. 2019-12-31]. Dostupné online. (anglicky) 
  8. a b c FIRST. Traffic Light Protocol (TLP) [online]. 2022 [cit. 2022-09-18]. Dostupné online. 
  9. Vyhláška Národního úřadu pro kybernetickou a informační bezpečnost č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). In: Sbírka zákonů. 2018. Dostupné online. Ve znění pozdějších předpisů. Dostupné online.

Externí odkazyEditovat