TIBER-FI-toimintamallin keskeiset periaatteet ovat seuraavat: 

  • TIBER-FI-toiminta organisoidaan kokonaisuutena vuosikalenterijaksoissa. Yhtä noin kalenterivuoden jaksoa kutsutaan TIBER-FI-kaudeksi.
  • TIBER-FI-toimintaan osallistuminen on finanssialan toimijoille vapaaehtoista. Ilmoittautuminen toimintaan tapahtuu TIBER-FI-kausi kerrallaan. Osallistumisesta ei kerätä maksua.
  • Nordic Financial CERT laatii ja toimittaa toimialan uhkatietoraportin, joka on TIBER-FI-toimintaan ilmoittautuneiden toimijoiden käytössä TIBER-FI-testaustoimintaa varten. Raportti laaditaan TIBER-FI-kaudeksi kerrallaan.
  • Finanssialan toimijat resursoivat, määrittävät, ohjaavat ja raportoivat testaukset. Test Manager tukee toimijoita eri vaiheissa. Test Manageria tulee myös informoida ja konsultoida vaiheiden etenemisestä tässä ohjeessa prosessin vaiheista kuvatuilla tavoilla.
  • TIBER-FI-kauden päättyessä TIBER-FI Cyber Team laatii yhteenvedon ja analyysin kuluneen kauden testien tuloksista ja hyödyistä finanssialan kyberturvallisuudelle. Tämä aineisto jaetaan toimintaan osallistuneille kulloinkin soveltuvalla tavalla esimerkiksi kirjallisesti tai seminaarissa.  Tiedonjaon tavoitteena on lisätä yhteistä ymmärrystä finanssialan kyberresilienssistä sekä hyvistä testauskäytänteistä. 

TIBER-FI-kauden päävaiheet ovat:

TIBER-FI-kauden vaiheet

Testaustoiminnan tuki ja koordinointi 

Hyvien testauskäytäntöjen ja muiden TIBER-FI-tavoitteiden saavuttamiseksi TIBER-FI Test Manager tukee testaustoimintaan osallistuvia finanssialan toimijoita. Test Managerin tehtävänä on olla tavoitettavissa kaikissa TIBER-FI-soveltamista koskevissa kysymyksissä.

Test Managerin tehtäviin kuuluu sen arviointi, että testaus on tehty TIBER-FI-ohjeistuksen mukaisesti. Tämän vuoksi White Teamin tulee olla yhteydessä Test Manageriin seuraavissa asioissa: 

  • testauksen aloitustapaamiseen osallistuminen
  • testaussuunnitelman toimittaminen
  • testauksen etenemistä koskeva informointi
  • läpikävelyyn osallistuminen
  • loppuraportin toimitus. 

On harkinnanvaraista, että White Team on yhteydessä Test Manageriin seuraavissa asioissa: 

  • konsultoi TIBER-FI-mallista arvioidessaan mukaan liittymistä
  • konsultoi toimialan uhkatietoraportin sisällöstä ja soveltamisesta
  • konsultoi palveluiden hankinnasta
  • konsultoi testaussuunnitelman laadinnasta
  • konsultoi testaukseen liittyvien riskien hallinnasta
  • konsultoi raportoinnista ja parantamistoimenpiteistä.

Prosessin vaiheita ja vastuita kuvataan tarkemmin jäljempänä tässä ohjeessa, seuraavilla sivuilla: