TLP: Traffic Light Protocol utilizzato da Dottor Marc
Introduzione
La versione 2.0 dello standard Traffic Light Protocol (TLP) di FIRST (https://www.first.org/tlp/) è in vigore dal mese di agosto 2022. Come nella versione precedente lo standard fornisce uno schema semplice e intuitivo per definire il livello di condivisione di informazioni potenzialmente sensibili.
Il protocollo utilizza 4 diversi livelli di condivisione: TLP:RED, TLP:AMBER, TLP:GREEN e TLP:CLEAR. Tali etichette non devono contenere spazi, devono essere scritte in maiuscolo e devono rimanere nella loro forma originale, anche se utilizzate in altre lingue.
Il TLP è ottimizzato per la facilità di adozione, leggibilità umana e condivisione tra persone; può essere utilizzato nei sistemi automatizzati di scambio delle informazioni, come MISP o IEP .
La fonte è responsabile di garantire che i destinatari delle informazioni TLP comprendano e possano seguire la guida alla condivisione del TLP.
La fonte è libera di specificare ulteriori restrizioni di condivisione che i destinatari dovranno rispettare.
Se un destinatario ha necessità di condividere le informazioni con un pubblico più ampio rispetto a quanto consentito dal livello TLP associato alla comunicazione, dovrà richiedere una specifica autorizzazione alla sorgente.
Le differenze nella nuova versione TLP v2.0 sono le seguenti:
- aggiunta del TLP:AMBER+STRICT il quale limita la condivisione alla sola organizzazione;
- modifica del TLP:WHITE in TLP:CLEAR.
Utilizzo
Come utilizzare il TLP nelle e-mail
Il TLP deve essere specificato prima delle informazioni da condividere. Per la mail, il livello di TLP dovrebbe essere inserito nell’Oggetto.
Come utilizzare il TLP nei documenti
Nei documenti il TLP deve essere inserito nell’intestazione e nel piè di pagina di ogni pagina. Il livello di TLP dovrebbe apparire in lettere maiuscole e con dimensione 12 punti o superiore per facilitare la lettura agli ipovedenti. È raccomandato inoltre l’uso dell’allineamento a destra.
Come utilizzare il TLP negli scambi informativi automatizzati
L’utilizzo nei sistemi di scambio automatizzato non è definito. I progettisti di tali sistemi sono quindi liberi di implementare eventuali regole nel rispetto dello standard.
Definizioni
- Comunità: una comunità è un gruppo che condivide obiettivi, metodi e rapporti di fiducia informali. Può essere molto ampia in quanto può comprendere tutti gli esperti di sicurezza informatica di un paese, settore o regione.
- Organizzazione: un’organizzazione è un gruppo che condivide le stesse policy definite dall’organizzazione stessa. L’organizzazione può comprendere anche tutti i membri appartenenti allo stesso gruppo di information sharing.
- Clienti: i clienti sono le persone o i soggetti che usufruiscono dei servizi di sicurezza informatica forniti da un’organizzazione. Generalmente i clienti sono inclusi nel TLP:AMBER, consentendo così ai destinatari una possibile ricondivisione delle informazioni e favorire le dovute azioni di contrasto da parte dei clienti. Per i team con responsabilità nazionale, sono compresi tra i clienti gli stakeholder e gli appartenenti alla constituency.
|
Colore |
Quando dovrebbe essere utilizzato? |
Come può essere condiviso? |
|
TLP:RED 
Di non divulgazione Informazione ristretta ai soli partecipanti |
Da utilizzare in caso in cui le informazioni contenute non possano essere utilizzate o veicolate verso ulteriori soggetti o quando le stesse possano causare impatti negativi sulla privacy, sulla reputazione o sull’operatività di uno o più soggetti. |
I destinatari non possono condividere le informazioni ricevute al di fuori delle persone coinvolte nello scambio, riunione, conversazione in cui sono state originariamente divulgate. Per esempio, in un meeting, informazioni TLP:RED devono essere limitate ai soli presenti. Spesso le informazioni TLP:RED vengono scambiate verbalmente. |
|
TLP:AMBER 
Divulgazione limitata alle sole organizzazioni coinvolte e i propri clienti TLP:AMBER+STRICT
Divulgazione limitata alle sole organizzazioni coinvolte
|
Da utilizzare quando le informazioni richiedono un supporto esterno per essere valorizzate ed utilizzate, anche se la loro condivisione al di fuori delle organizzazioni coinvolte potrebbe comportare rischi per la privacy, reputazione o sull’operatività di uno o più soggetti. |
I destinatari possono condividere informazioni TLP:AMBER solo con membri della propria organizzazione e con i suoi clienti, ma solo sulla base del concetto “need-to-know” per proteggere l'organizzazione e i clienti e prevenire ulteriori danni. Nota: se la fonte desidera limitare la condivisione alla sola organizzazione, deve specificare TLP:AMBER+STRICT. |
|
TLP:GREEN 
Divulgazione limitata ai soli appartenenti alla comunità |
Da utilizzare quando le informazioni sono importanti per l’allertamento delle organizzazioni partecipanti e degli omologhi soggetti di una comunità o di un settore. |
I destinatari possono condividere le informazioni TLP:GREEN con soggetti omologhi e organizzazioni partner all’interno del proprio settore o comunità ma non tramite canali pubblicamente accessibili. Le informazioni TLP:GREEN potrebbero non poter essere condivise al di fuori della comunità. Nota: quando la comunità non è definita, si assume che la comunità di riferimento sia di sicurezza informatica/difesa. |
|
TLP:CLEAR 
Divulgazione illimitata |
La fonte deve usare TLP:CLEAR quando le informazioni condivise comportano un rischio minimo di utilizzo improprio, in accordo con regole e procedure applicabili per il rilascio pubblico. |
Le informazioni TLP:CLEAR possono essere distribuite senza restrizioni rispettando eventuali disposizioni sul copyright. |
