Úvodní stránka

Logo NÚKIB

Toto doporučení určuje pravidla pro sdílení a práci s citlivými informacemi (dokumenty, indikátory kompromitace, zprávy). Doporučujeme tato pravidla značení používat pro chráněné, citlivé či jinak důvěrné informace, které je třeba kontrolovaně sdílet interně nebo s dalšími organizacemi.

Ke značení informací je vhodné využívat dvě kategorie v rámci jedné informace:

Práce s TLP a PAP je založena na dobrovolném respektování ze strany původců i adresátů informací za účelem zvýšení ochrany informací při jejich předávání a využití. Před předáním informace označené dle tohoto doporučení je vždy nutné se ujistit, že je protistrana s aktuálními pravidly TLP nebo PAP seznámena a respektuje je.

Toto doporučení nenahrazuje náležitosti označování a nakládání s utajovanými informacemi ve smyslu zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, které je v případě utajovaných informací dle tohoto zákona nezbytné důsledně dodržovat.

Doporučení k používání protokolů TLP a PAP je přizpůsobeno potřebám Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Toto doporučení je aktualizováno ke dni: 1. června 2025

Traffic Light Protocol (TLP)

TLP slouží k určení míry důvěrnosti informací a možnosti jejich dalšího sdílení. Protokol vydává organizace FIRST.org, Inc, a aktuální verzi 2.0 v anglickém a českém jazyce naleznete zde: https://www.first.org/tlp/. Předchozí verze doporučujeme nevyužívat.

Za tímto účelem se informace označují jedním z pěti příznaků, které stanoví charakter informace a podmínky jejího použití. Doporučení k používání protokolu TLP vychází z aktuální verze TLP 2.0 a definice jednotlivých TLP příznaků jsou přizpůsobeny potřebám NÚKIB. Požadavky organizace FIRST.org mohou být v některých požadavcích na vizuální podobu TLP příznaků oproti tomuto doporučení otevřenější a benevolentnější. Určité upřesnění či zpřísnění jednotlivých požadavků viz níže má za cíl sjednocení využívání TLP v rámci NÚKIB.

Před zasláním informace označené dle protokolu TLP je vždy nutné se ujistit, že protistrana je se systémem seznámena a respektuje jej.

Je stanoveno následujících pět příznaků s uvedením charakteru informace a podmínkami jejich použití. V psaném textu se používají vizuální štítky, v je vhodné říct „TLP“ a poté danou úroveň.

Znění TLP protokolu v české verzi

PODMÍNKY VYUŽITÍ INFORMACÍ
Využití poskytnutých informací probíhá v souladu s metodikou Traffic Light Protocol dostupnou na webových stránkách NÚKIB. Informace je označena příznakem, který stanoví podmínky použití informace. Jsou stanoveny následující příznaky s uvedením charakteru informace a podmínkami jejich použití:

 

Příznak
Podmínky použití
TLP:RED
Informace nemůže být poskytnuta jiné osobě než té, které byla informace určena, nebudou-li výslovně stanoveny další osoby, kterým lze takovou informaci poskytnout. V případě, že příjemce považuje za důležité informaci poskytnout dalším subjektům, lze tak učinit pouze se souhlasem původce informace.
TLP:AMBER+STRICT
Informace může být sdílena pouze v rámci organizace příjemce, a to pouze osobám, které splňují zásady need-to-know1.
TLP:AMBER
Informace může být sdílena v rámci organizace příjemce a jejím partnerům, a to pouze osobám, které splňují zásady need-to-know.
TLP:GREEN
Informace může být sdílena v rámci organizace příjemce a případně také s dalšími partnerskými subjekty příjemce, avšak nikoli skrze veřejně dostupné kanály; příjemce musí při předání zajistit důvěrnost komunikace.
TLP:CLEAR
Informace může být dále poskytována a šířena bez omezení. Případné omezení na základě práva duševního vlastnictví původce a/nebo příjemce či třetích stran nejsou tímto ustanovením dotčena.

1need-to-know ­— princip, který tvrdí, že k informaci mají mít přístup pouze osoby, které danou informaci nutně potřebují ke svojí práci.

Permissible Actions Protocol (PAP)

PAP slouží k určení možností práce s informacemi jako např. jejich využití pro monitoring či blokování. Původní specifikace tohoto značení je dostupná na https://www.misp-project.org/taxonomies.html#_pap.

PAP je vhodné využít zejména v případech, ve kterých jsou sdíleny indikátory kompromitace (IP adresy, domény, hashe), případně informace, které mohou být použity k detekci nebo blokování útočníka.

Jsou stanoveny následující čtyři příznaky s uvedením charakteru informace a podmínkami jejich použití. V psaném textu se používají vizuální štítky, v mluveném projevu je vhodné říct „PAP“ a poté danou úroveň.

Znění PAP protokolu v české verzi

PODMÍNKY VYUŽITÍ INFORMACÍ
Využití poskytnutých informací probíhá v souladu s metodikou Permissible Actions Protocol dostupnou na webových stránkách NÚKIB. Informace je označena příznakem, který stanoví podmínky použití informace. Jsou stanoveny následující příznaky s uvedením charakteru informace a podmínkami jejich použití:
Příznak
Podmínky použití
PAP:RED
Při nakládání s informací lze provádět pouze akce, které nejsou zjistitelné. Příjemci nesmí informaci aktivně využívat v sítích připojených k internetu, ale pouze pasivně v kontrolované infrastruktuře určené pro investigace.1
PAP:AMBER
Při nakládání s informací lze provádět pouze pasivní akce. Příjemci mohou např. vyhledávat informaci prostřednictvím třetích stran (např. WHOIS nebo CESNET NERD), mohou vyhledávat informaci v napadené síti nebo mohou využít honeypot pro monitoring.
PAP:GREEN
Při nakládání s informací lze mimo svou infrastrukturu provádět pouze neinvazivní akce, ve své infrastruktuře lze provádět libovolné akce. Příjemci mohou informaci použít např. pro ping na cíl, blokaci příchozí/odchozí komunikace z/na cíl či specificky nakonfigurovat honeypot pro interakci s cílem.
PAP:CLEAR
Žádné omezení pro nakládání s informací. Tím nejsou dotčeny případné povinnosti vyplývající z právních předpisů.

1Je důležité dávat pozor, aby používané nástroje neodesílaly data do internetu skrytě (např. dotazování WHOIS databáze). Cloudové služby je možné používat pouze v případě, pokud je smluvně ošetřena důvěrnost zpracovaných informací.

Pro používání TLP a PAP platí stejná pravidla:

Dokument ke stažení zde: https://nukib.gov.cz/download/publikace/podpurne_materialy/Doporuceni-ke-sdileni-informaci-ke-stazeni.pdf