Retningslinjer – deling av informasjon i og med NCSC
Disse retningslinjene beskriver prinsippene som gjelder for deling av informasjon i og med Nasjonalt cybersikkerhetssenter (NCSC). NCSC benytter Trafikklysprotokollen (TLP) i henhold til FIRST standardsdefinisjon og veiledning for bruk.
Retningslinjene regulerer følgende kanaler for informasjonsdeling:
-
Varsler fra NCSC Operasjonssenter
-
Samhandlings- og samarbeidsplattformer i regi av NCSC
-
Informasjon som deles muntlig eller utilsiktet med Partnere i NCSC
-
Annet som er merket iht. trafikklysprotokollen.
Retningslinjen gjelder ikke behandling av sikkerhetsgradert informasjon etter sikkerhetsloven § 5-3. Retningslinjen gjelder heller ikke informasjon som på det tidspunkt informasjonen gis må anses allment kjent eller dersom informasjonen på lovlig måte er kommet mottakeren til kunnskap gjennom andre kilder.
Trafikklysprotokollen (TLP)
For deling av all annen informasjon i og med NCSC benyttes Trafikklysprotokollen (TLP) i henhold til FIRST Standard Definitions and Usage Guidance oversatt under.
Mottaker skal anse all skriftlig informasjon som deles i og med NCSC som TLP:GUL med mindre annet fremgår.
Trafikklysprotokollen hindrer ikke utlevering av informasjon der hvor mottaker har en lovpålagt plikt til å utlevere informasjonen, for eksempel etter offentlighetsloven. Dersom avsender mener informasjonen skal unntas offentlighet må avsender angi hjemmel for dette.
Trafikklysprotokollen har ingen krav til beskyttelse av informasjon, og avsender må vurdere sikkerhetsgradering etter sikkerhetsloven og beskyttelsesinstruksen. Informasjon merket TLP:GUL eller TLP:RØD bør kommuniseres kryptert.
Avsender må selv påse at de har hjemmel og rett til å dele informasjonen og mottaker må selv påse at de har hjemmel til å motta informasjonen. For eksempel etter personopplysningsregelverket der det deles personopplysninger.
FIRST Standards Definitions and Usage Guidance - Versjon 1.0
1. Introduksjon
a. Trafikklysprotokollen (TLP) ble opprettet for å legge til rette for økt deling av informasjon. TLP er et sett med betegnelser som brukes for å sikre at sensitiv informasjon blir delt med riktig publikum. Protokollen bruker fire farger for å indikere forventede begrensninger i deling som skal overholdes av mottakeren(e). Eventuelle farger eller betegnelser som ikke er oppført i denne standarden anses ikke som gyldige av FIRST.
b. TLP gir en enkel og intuitiv ordning for å indikere når og hvordan sensitiv informasjon kan deles, noe som gir et hyppigere og mer effektivt samarbeid. TLP er ikke et «kontrollmerke» eller graderingsordning. TLP er ikke designet for å håndtere lisensvilkår, håndterings- og krypteringsregler eller begrensninger i bruk av informasjon. TLP-betegnelsen og dens definisjoner er ikke ment å ha noen innvirkning på informasjonsfrihet eller rett til offentlig innsyn uansett jurisdiksjon.
c. TLP er optimalisert for enkel anvendelse, menneskelig lesbarhet og person-til-person-deling; den kan brukes i automatiserte delingsutvekslinger, men er ikke optimalisert for den bruken.
d. TLP er forskjellig fra Chatham House-regelen (når et møte, eller deler av dette, holdes under Chatham House-regelen står deltakerne fritt til å bruke den mottatte informasjonen, men verken identiteten eller tilknytningen til foredragsholderen eller andre deltakere skal avsløres), men kan brukes sammen hvis det anses som passende av deltakerne i en informasjonsutveksling.
e. Avsender er ansvarlig for at mottakere av TLP-merket informasjon både forstår og kan følge protokollen.
f. Hvis en mottaker må dele informasjonen i en bredere krets enn angitt av den opprinnelige TLP-betegnelsen, må de innhente eksplisitt tillatelse fra den opprinnelige avsenderen.
2. Bruk
a. Hvordan bruke TLP i e-post
E-postkorrespondanse skal indikere TLP-betegnelser på informasjonen i emnefeltet og i e-postteksten før den angitte informasjonen. TLP-betegnelser skal skrives med store bokstaver: TLP:RØD, TLP:GUL, TLP:GRØNN eller TLP:HVIT, eller med sine engelske motparter, TLP:RED, TLP:AMBER, TLP:GREEN eller TLP:WHITE.
b. Hvordan bruke TLP i dokumenter
Dokumenter skal indikere TLP-betegnelser på informasjonen i toppteksten og bunnteksten på hver side. For å unngå forvirring med eksisterende graderingsmerking, anbefales det å venstrejustere TLP-betegnelser. TLP-betegnelser skal vises med store bokstaver og i 12 punkter eller større.
3. TLP-definisjoner
a. TLP:RØD = Ikke til formidling, begrenset til deltakere/mottagere.
Avsender kan bruke TLP:RØD når mottaker ikke skal kunne benytte informasjonen og misbruk kan føre til innvirkning på en parts personvern, omdømme eller operasjoner. Mottakere kan ikke dele TLP:RØD-informasjon med noen parter utenfor den spesifikke utvekslingen, møtet eller samtalen der informasjonen opprinnelig ble formidlet. I de fleste tilfeller bør TLP:RØD utveksles muntlig eller personlig.
b. TLP:GUL = Begrenset formidling, begrenset til deltakernes organisasjoner.
Avsender kan bruke TLP:GUL når informasjonen krever samarbeid for å kunne benyttes effektivt, men det likevel medfører risiko for personvern, omdømme eller operasjoner hvis den deles utenfor organisasjonene som er involvert. Mottakere kan bare dele TLP:GUL-informasjon med medlemmer av sin egen organisasjon, og med klienter eller kunder som trenger å vite informasjonen for å beskytte seg selv eller forhindre ytterligere skade. Avsender kan spesifisere ytterligere begrensninger for delingen; disse må følges.
c. TLP:GRØNN = Begrenset formidling, begrenset til miljøet.
Avsender kan bruke TLP:GRØNN når informasjon er nyttig for alle deltakende organisasjoner og kollegaer i et bredere miljø eller sektoren. Mottakere kan dele TLP:GRØNN-informasjon med kollegaer og organisasjoner i deres sektor eller miljø, men ikke via offentlig tilgjengelige kanaler. Informasjon i denne kategorien kan distribueres bredt innenfor et bestemt miljø. TLP:GRØNN informasjon kan ikke distribueres utenfor miljøet.
d. TLP:HVIT = Ubegrenset formidling.
Avsender kan bruke TLP:HVIT når informasjon medfører minimal eller ingen forutsigbar risiko for misbruk, i samsvar med gjeldende regler og prosedyrer for offentliggjøring. Underlagt gjeldene opphavsrettsregler kan TLP:HVIT-informasjon distribueres uten begrensninger.