Toimintamallin kuvaus

TIBER-FI-toimintamallin keskeiset periaatteet ovat seuraavat: 

• TIBER-FI-toimintaan osallistuminen on finanssisektorin toimijoille vapaaehtoista. Ilmoittautuminen toimintaan tapahtuu TIBER-FI-testausprojekti kerrallaan. Kehikon käyttäminen on maksutonta. 
• Suomen Pankki teettää toimialan uhkatietoraportin, joka on käytettävissä TIBER-FI-testaustoiminnassa. Raportti päivitetään vuosittain.
• Finanssisektorin toimijat resursoivat, määrittävät, ohjaavat ja raportoivat testaukset. Testauspäällikkö tukee toimijoita eri vaiheissa. Testauspäällikköä tulee informoida ja konsultoida vaiheiden etenemisestä tässä ohjeessa kuvatulla tavalla.
• TIBER-FI-koordinaatioryhmä (TCT) jakaa TIBER-FI-yhteistyöverkostolle tietoa testien tuloksista ja hyödyistä finanssialan kyberturvallisuudelle. Tämä aineisto jaetaan toimintaan osallistuneille kulloinkin soveltuvalla tavalla esimerkiksi kirjallisesti tai seminaarissa. Tiedonjaon tavoitteena on lisätä yhteistä ymmärrystä finanssialan kyberresilienssistä sekä hyvistä testauskäytänteistä.

TIBER-FI-testin päävaiheet ovat:

• osallistumisesta päättäminen
• testauksen valmistelu
• testien toteuttaminen
• yhteenveto ja parantaminen.

Testaustoiminnan tuki ja koordinointi 

Hyvien testauskäytäntöjen ja muiden TIBER-FI-tavoitteiden saavuttamiseksi TIBER-FI testauspäällikkö tukee testaustoimintaan osallistuvia finanssialan toimijoita. Testauspäällikön tehtävänä on olla tavoitettavissa kaikissa TIBER-FI-soveltamista koskevissa kysymyksissä.

Testauspäällikön tehtäviin kuuluu sen arviointi, että testaus on tehty TIBER-FI-ohjeistuksen mukaisesti. Tämän vuoksi White Teamin tulee olla yhteydessä testauspäällikköön seuraavissa asioissa: 

• testauksen aloitustapaamiseen osallistuminen
• testaussuunnitelman toimittaminen
• testauksen etenemistä koskeva informointi
• läpikävelyyn osallistuminen
• loppuraportin toimitus. 

On harkinnanvaraista, että White Team on yhteydessä testauspäällikköön seuraavissa asioissa: 

• konsultoi TIBER-FI-mallista arvioidessaan mukaan liittymistä
• konsultoi toimialan uhkatietoraportin sisällöstä ja soveltamisesta
• konsultoi palveluiden hankinnasta
• konsultoi testaussuunnitelman laadinnasta
• konsultoi testaukseen liittyvien riskien hallinnasta
• konsultoi raportoinnista ja parantamistoimenpiteistä.

Prosessin vaiheita ja vastuita kuvataan tarkemmin jäljempänä tässä ohjeessa, seuraavilla sivuilla:

• Osallistumisesta päättäminen
• Testauksen valmistelu
• Testauksen toteuttaminen
• Yhteenveto ja parantaminen.