PSeg11 - Norma de Contingência e Continuidade do Negócio
Introdução
Este documento apresenta conceitos e ações para o plano de contingência aos Sistemas relativos ao backbone USPnet da Universidade de São Paulo.
1. Objetivo
O objetivo desta Norma é estabelecer diretrizes para a montagem do plano de contingência dos elementos que impactam diretamente sobre a USPnet, levando-se em conta a pontuação dos mesmos de acordo com a criticidade (documento ASeg01).
2. Abrangência
Em conformidade com a Política de Segurança, esta Norma tem abrangência em todo o backbone USPnet, sendo mandatórios neste escopo.
3. Planos de Contingência
A Contingência pode ser classificada em média, alta e altíssima.
3.1 Contingência Média
Na contingência média é aceitável a disponibilidade em horário comercial, podendo ser interrompida eventualmente.
3.1.1 Contingência para Servidores
São recomendadas as seguintes ações:
- Procedimentos de Back-up regulares;
- Contrato de manutenção de Hardware (5x8);
- Na falta de contrato de manutenção, possuir peças de reposição e pessoal técnico para atuar;
- Manutenção de patches atualizados;
- Disco de boot espelhado (mirror).
3.1.2 Contingência para outros Ativos de Rede
São recomendadas as ações para os ativos de rede:
- Contrato de manutenção de Hardware (5x8) e/ou elemento de back-up;
- Na falta de contrato de manutenção, possuir hardware de back-up e pessoal técnico para atuar;
3.2 Contingência Alta
Na contingência alta é requerida disponibilidade 7x24, podendo ser interrompida eventualmente.
3.2.1 Contingência de Servidores
- Procedimentos de Back-up regulares;
- Cópia de segurança armazenada em 2 tipos diferentes de mídia;
- Contrato de manutenção de hardware (7x24);
- Na falta do contrato de manutenção, possuir outro hardware idêntico e pessoal técnico em regime de plantão;
- Manutenção de patches atualizados;
- Todos os discos espelhados;
- Placas de rede redundantes;
- Utilização de No-Breaks;
3.2.2 Contingência para outros Ativos de Rede
- Contrato de manutenção de hardware (7x24);
- Na falta do contrato de manutenção, possuir outro hardware idêntico e pessoal técnico em regime de plantão;
- Alimentação através de no-break;
3.3 Contingência Altíssima
Na contingência altíssima é requerida disponibilidade 7x24 sem interrupções.
3.3.1 Contingência de Servidores
- Procedimentos de Back-up regulares;
- Cópia de segurança armazenada em 2 tipos diferentes de mídia;
- Armazenamento das mídias de back-up em local físico alternativo;
- Contrato de manutenção de hardware (7x24);
- Manutenção de patches atualizados;
- Todos os discos espelhados;
- Placas de rede redundantes;
- Fontes de alimentação do hardware redundantes;
- Utilização de Grupo gerador e no-break;
- Hardware idêntico em espera (Standby) com Failureover automatizado por serviço;
- Ambiente alternativo em local físico diferente do principal cujo tempo de disponibilização por serviço não ultrapasse 8 horas;
- Pessoal técnico distribuídos em plantão.
3.3.2 Contingência para outros Ativos de Rede
- Contrato de manutenção de hardware (7x24);
- Pessoal técnico em plantão;
- Hardware com fonte redundante;
- Hardware idêntico em espera (Standby) utilizando protocolo VRRS no caso de roteadores;
- Alimentação através de grupo gerador e no-break.
4. Critério para aplicação
Recomenda-se a aplicação dos níveis de contingência definidos através da pontuação dos ativos quanto a criticidade, conforme documento ASeg01.
O critério sugerido é:
- pontuação GUTA = 625 ---------------------Contingência altíssima
- pontuação GUTA > 256 e < 625 -----------Contingência alta
- pontuação GUTA > 81 e < 256 ------------Contigência média
5. Procedimentos alternativos
Recomenda-se que cada sistema possua procedimentos alternativos (manuais) independentes do fluxo normal do sistema para aqueles processos que forem qualificados como críticos por demandarem ônus jurídico ou financeiro para a Universidade.
6. Teste e validação do plano
- Deverão ser testados a intervalos regulares todos os níveis de contingência implantados e homologados pelas equipes técnicas envolvidas;
- Os itens técnicos definidos em cada nível de contingência deverão ser revistos ou modificados sempre que houver uma melhoria tecnológica à disposição.