P 2 0610 02 Integracion y Seguridad de Datos de Procesos Industriales

SUBDIRECCIN DE DISTRIBUCIN Y COMERCIALIZACIN
REPRESENTACIN DE LA GAM
ESPECIFICACIONES TCNICAS PARA PROYECTO DE OBRAS
INTEGRACIN Y SEGURIDAD DE DATOS DE

PROCESOS INDUSTRIALES
(INTEGRATION AND SECURITY OF DATA PROCESSING

INDUSTRIAL)
P.2.0610.02
PRIMERA EDICIN
OCTUBRE, 2008
1/53

Primera Edicin
P.2.0610.02:2008
PREFACIO
PEMEX-Exploracin y Produccin (PEP) en cumplimiento de la Ley Federal sobre Metrologa y
Normalizacin y acorde con la facultad que le confieren la Ley de Adquisiciones, Arrendamientos y Servicios
del Sector Pblico y la Ley de Obras Pblicas y Servicios Relacionados con las mismas, para que emita sus
normas y especificaciones tcnicas, edita la presente especificacin tcnica a fin de que se utilice en la,
contratacin de los servicios de integracin y seguridad de datos de los procesos industriales.
En la elaboracin de esta especificacin participaron:
Subdireccin de la Unidad de Perforacin y Mantenimiento de Pozos
Subdireccin Regin Norte
Subdireccin Regin Sur
Subdireccin Regin Marina Noreste
Subdireccin Regin Marina Suroeste
Subdireccin de Ingeniera y Desarrollo de Obras Estratgicas
Subdireccin de la Coordinacin de Servicios Marinos
Subdireccin de Coordinacin Tcnica de Exploracin
Subdireccin de Seguridad Industrial, Proteccin Ambiental y Calidad
Subdireccin de Distribucin y Comercializacin
2/53

Primera Edicin
P.2.0610.02:2008
NDICE
Pgina
0.
Introduccin..............................................................................................................................
1.
Objetivo ....................................................................................................................................
2.
Alcance.....................................................................................................................................
3.
Campo de aplicacin................................................................................................................
4.
Actualizacin ............................................................................................................................
5.
Referencias ..............................................................................................................................
6.
Definiciones..............................................................................................................................
7.
Smbolos y Abreviaturas ..........................................................................................................
10
8.
Desarrollo .................................................................................................................................
12
8.1
Generalidades..........................................................................................................................
12
8.2
Integracin y Seguridad de Datos de Procesos Industriales (ISDPI) ......................................
12
8.2.1
Arquitectura del ISDPI..............................................................................................................
13
8.2.2
Niveles de la arquitectura para la ISDPI ..................................................................................
13
8.2.3
Soluciones y esquemas tecnolgicos para la seguridad de datos de TR de la arquitectura

de la ISDPI ...............................................................................................................................
13
8.2.4
Categorizacin de instalaciones ..............................................................................................
15
8.3
Integracin y seguridad de datos en el nivel de Proceso ........................................................
16
8.3.1
Integracin de datos en el nivel de Proceso ............................................................................
16
8.3.2
Seguridad de datos en el nivel de Proceso .............................................................................
16
8.3.3
Especificaciones tcnicas en el nivel de Proceso ...................................................................
16
8.3.4
Protocolos de comunicacin en el nivel de Proceso ...............................................................
17
8.4
Integracin y seguridad de datos en el nivel de Estacin........................................................
17
8.4.1
Integracin de datos en el nivel de Estacin ...........................................................................
17
3/53

Primera Edicin
P.2.0610.02:2008
NDICE
Pgina
8.4.2
Seguridad de datos en el nivel de Estacin.............................................................................
18
8.4.3
Especificaciones tcnicas en el nivel de Estacin...................................................................
19
8.4.4
Protocolos de comunicacin en el nivel de Estacin...............................................................
19
8.5
Integracin y seguridad de datos en el nivel de Supervisin...................................................
20
8.5.1
Integracin de datos en el nivel de Supervisin ......................................................................
20
8.5.2
Seguridad de datos en el nivel de Supervisin........................................................................
21
8.5.3
Especificaciones tcnicas en el nivel de Supervisin..............................................................
22
8.5.4
Protocolos de comunicacin en el nivel de Supervisin..........................................................
22
8.6
Integracin y seguridad de datos en el nivel de Evaluacin y planeacin ..............................
22
8.6.1
Integracin de datos en el nivel de Evaluacin y planeacin ..................................................
23
8.6.2
Seguridad de datos en el nivel de Evaluacin y planeacin....................................................
25
8.6.3
Especificaciones tcnicas en el nivel de Evaluacin y planeacin..........................................
25
8.6.4
Protocolos de comunicacin en el nivel Evaluacin y planeacin...........................................
25
8.7
Integracin y seguridad de datos en el nivel de Toma de decisiones .....................................
25
8.7.1
Integracin de datos en el nivel de Toma de decisiones.........................................................
25
8.7.2
Seguridad de datos en el nivel de Toma de decisiones ..........................................................
26
8.7.3
Especificaciones tcnicas en el nivel de Toma de decisiones ................................................
26
8.7.4
Protocolos de comunicacin en el nivel de Toma de decisiones ............................................
26
8.8
Manejo de informacin en Tiempo real....................................................................................
26
9.
Concordancia con normas internacionales ......................................................................
27
10.
Bibliografa ...............................................................................................................................
27
11.
Anexos (Normativos)................................................................................................................
29
11.1 Arquitectura tecnolgica de la automatizacin integrada de PEP.................................
29
11.2 Niveles de cobertura de la Pirmide de automatizacin para la integracin y

seguridad de datos de procesos industriales ................................................................
30
4/53

Primera Edicin
P.2.0610.02:2008
NDICE
Pgina
11.3 Nomenclatura para la identificacin de variables en la base de datos de los

servidores integradores historiadores de PEP ..............................................................
30
11.4 Nomenclatura para la identificacin de servidores integradores historiadores de

PEP................................................................................................................................
33
11.5 Intercambio de datos entre servidores integradores historiadores ...............................
34
11.6 Especificaciones tcnicas de la infraestructura de equipo de cmputo ........................
34
11.7 Tipos de sistema digitales de monitoreo y control en las instalaciones industriales de

PEP................................................................................................................................
37
11.8 Seguridad de la red industrial ........................................................................................
38
11.9 Formato para solicitud de cuentas VPN ........................................................................
53
5/53

Primera Edicin
0.
P.2.0610.02:2008
Introduccin
Dentro de las principales actividades que se llevan a cabo en PEP, se encuentran la extraccin, recoleccin,
procesamiento primario, almacenamiento, medicin, distribucin y transporte de hidrocarburos, actividades
que requieren del diseo, construccin, arranque, operacin, mantenimiento de instalaciones, as como de la
adquisicin de materiales y equipos requeridos para cumplir con eficiencia y eficacia los objetivos de la
empresa.
La automatizacin de los procesos industriales de PEP, se ha llevado a cabo mediante la instalacin de
Sistemas Digitales de Monitoreo y Control SDMC con el objetivo de monitorear y controlar en tiempo real
aquellos procesos rutinarios, riesgosos y complicados. PEP identific que la integracin de los datos que se
generan en estas instalaciones, plantas o procesos le agregan valor al negocio y es fundamental en la toma
de decisiones.
Como consecuencia, PEP desarrollo una estrategia para la Integracin de Sistemas de Automatizacin
Industrial, donde uno de sus objetivos es la integracin y la seguridad de los datos de procesos industriales.
Para la integracin y seguridad de los datos de proceso generados en las instalaciones de produccin,
refinacin, petroqumica bsica, transporte, distribucin y almacenamiento de hidrocarburos se les debe
transferir en tiempo real, proporcionndoles disponibilidad y confiabilidad, y llevar a cabo su distribucin en
lnea, con la finalidad de suministrar informacin de Tiempo Real, hacia los sistemas de integracin y/o de
anlisis localizados en las reas operativas y hacia los sistemas de informacin empresariales de PEP, para
el mejor control y administracin de las operaciones de las instalaciones; as como para la planeacin y toma
de decisiones del negocio.
Para lograr lo anterior, se debe contar con una normatividad actualizada acorde con las exigencias de los
trabajos a desarrollar y que cumpla con los requerimientos de integracin y seguridad de los datos para
contar con instalaciones eficientes y seguras.
Con el objeto de unificar criterios, aprovechar las experiencias dispersas y conjuntar resultados de las
investigaciones en normatividad nacional e internacional, PEP emite este documento tcnico para su
aplicacin en el diseo, adquisicin, construccin y operacin de bienes o servicios, para la
Integracin y Seguridad de Datos de Procesos Industriales de las instalaciones existentes y futuras de
PEP.
1.
Objetivo
Establecer los requisitos tcnicos y documentales que deben cumplir los proveedores y contratistas en la
ejecucin de los servicios de integracin y seguridad de datos de procesos industriales que se obtienen de
las instalaciones automatizadas de PEMEX-Exploracin y Produccin.
2.
Alcance
Esta especificacin tcnica cubre los requisitos tcnicos que se deben cumplir en la contratacin de los
servicios de diseo, especificacin, adquisicin, instalacin y pruebas de la integracin de sistemas digitales
de automatizacin industrial, basados en la integracin y seguridad de datos de los procesos industriales de
las instalaciones automatizadas existentes y futuras de PEP, consideradas en la Estrategia de
Automatizacin Integrada de PEP y comprende los siguientes niveles de la pirmide de automatizacin:
6/53

Primera Edicin
3.
P.2.0610.02:2008
Proceso (Instrumentacin)
Estacin (Controlador)
Supervisin (Monitoreo y acciones de control)
Evaluacin y planeacin
Toma de decisiones
Campo de aplicacin
Esta especificacin tcnica es de aplicacin general y observancia obligatoria en la adquisicin, contratacin

o arrendamiento de los bienes y servicios objeto de la misma, que lleven a cabo los centros de trabajo de
PEP. Por lo tanto, se debe incluir en los procedimientos de contratacin: licitacin pblica, invitacin a
cuando menos tres personas o adjudicacin directa; como parte de los requisitos que debe cumplir el
proveedor o contratista.
As mismo, la presente especificacin tcnica es de aplicacin general y observancia obligatoria, para los
trabajos que lleven a cabo los centros de trabajo de PEP por administracin directa.
4.
Actualizacin
A las personas e instituciones que hagan uso de este documento normativo tcnico, se solicita
comuniquen por escrito las observaciones que estimen pertinentes, dirigiendo su correspondencia a:
PEMEX-Exploracin y Produccin.
Subcomit Tcnico de Normalizacin
Baha de Ballenas 5, Edificio D, PB., entrada por Baha del Espritu Santo s/n
Col. Vernica Anzures, Mxico D. F., C. P. 11 300
Telfono directo: 1944-9286
Conmutador: 1944-2500 extensin 80-80, Fax: 3-26-54
Correo electrnico: lortizh@pep.pemex.com
5.
Referencias
5.1
NOM-008-SCFI-2002. Sistema general de unidades de medida.
5.2
NRF-022-PEMEX-2008. Redes de cableado estructurado de telecomunicaciones para edificios

administrativos y reas industriales.
5.3
NRF-046-PEMEX-2003. Protocolos de comunicacin en sistemas digitales de monitoreo y control.
5.4
NRF-049-PEMEX-2006. Inspeccin de bienes y servicios.
5.5
NRF-105-PEMEX-2005. Sistemas digitales de monitoreo y control.
7/53

Primera Edicin
6.
P.2.0610.02:2008
Definiciones
Para efectos de esta especificacin tcnica, se entiende por:

6.1
ADITEP. Estrategia de aplicacin nacional que permite mantener y proteger los datos tcnicos, as
como contar con mecanismos modernos para su aprovechamiento de forma eficiente y oportuna.
6.2
Autenticacin. Medida de seguridad diseada para proteger un sistema de comunicacin en contra
de la aceptacin de transmisiones o simulaciones fraudulentas, por medio del establecimiento de la validez
de la transmisin, mensaje u originador. Acto de verificar la identidad reclamada de una entidad.
6.3
Autorizacin. Privilegios o derechos concedidos a un usuario o entidad para acceder, leer,
modificar, insertar o borrar ciertos datos o para ejecutar ciertos programas.
6.4
Base de datos del tipo series de tiempo. Solucin de almacenamiento de datos histricos que se
desarrolla a partir de una base de datos por excepcin o a travs de tecnologas propietarias.
6.5
Centro de integracin. Cualquier instalacin administrativa, ya sea de sector, activo o regin, en
donde se lleve a cabo la integracin de datos provenientes de proceso.
6.6
Centro de operaciones integradas. Infraestructura necesaria para la integracin de las funciones
de los centros regionales de atencin y respuesta a emergencias, centros regionales de estudios y
evaluaciones, centros de visualizacin y cuartos centrales de monitoreo y control.
6.7
Confiabilidad. Capacidad de una unidad funcional para cumplir una funcin requerida bajo ciertas
condiciones en un intervalo dado de tiempo.
6.8
Controles de acceso. Aseguran que solo personal o dispositivos autorizados son permitidos a
acceder a los elementos de red, informacin almacenada, al flujo de la informacin, servicios y aplicaciones.
6.9
Cortafuegos (dedicados) firewall. Dispositivo usado para regular el control de acceso de y para
una red, as como para proteger a las computadoras conectadas a la misma, de usos no autorizados. Los
cortafuegos utilizan mecanismos que bloquean o permiten cierto tipo de trfico, regulando el flujo de
informacin.
6.10
Datos de procesos industriales. Se refiere a los datos de tiempo real de los procesos (para
monitoreo y/o control) generados por los sistemas digitales de monitoreo y control, sistemas instrumentados
de seguridad o sistemas digitales dedicados, que se establecen en el anexo 11.7 de la presente
especificacin tcnica.
6.11
Disponibilidad. Garantiza que se tendr acceso, siempre y cuando sea autorizado, a los elementos
de la red, la informacin almacenada, los flujos de informacin, los servicios y las aplicaciones, debido a
eventos que afecten la red.
6.12
Encriptacin. Tcnica de seguridad de informacin en la cual se traducen los datos dentro de un
cdigo secreto de forma que son ininteligibles para quien no tenga la clave para su decodificacin.
6.13
Especificacin de transferencia de informacin de pozos (WITS). Formato de comunicaciones
usado para la transferencia de una amplia variedad de datos de pozos, de una computadora hacia otra.
6.14
Integracin y seguridad de datos de procesos industriales (ISDPI). Recoleccin,
almacenamiento y respaldo de los datos generados en los procesos de produccin, distribucin y
8/53

Primera Edicin
P.2.0610.02:2008
almacenamiento de hidrocarburos en tiempo real, para proporcionarles integridad, disponibilidad y

confiabilidad; y llevar a cabo la distribucin en lnea de los mismos, para el control y administracin de las
operaciones de produccin de las instalaciones; as como para la planeacin y toma de decisiones del
negocio.
6.15
Integridad del dato. Proteccin del dato garantizando su exactitud o precisin contra modificaciones
no autorizadas, supresin, creacin y replicacin y provee un indicador de estas actividades no autorizadas.
6.16
Intercambio dinmico de datos. Transferencia de datos entre dos o ms programas de aplicacin
diferentes, siempre que estos programas cumplan con estndares del protocolo de Intercambio Dinmico de
Datos.
6.17
No-Repudiacin. Provee los medios para la prevencin de una accin en particular relacionada con
los datos y que una persona o entidad niegue haber ejecutado al poner a disposicin pruebas relacionadas
con la red (tales como pruebas de obligacin, intento o aceptacin, pruebas de orgenes de datos, de
propiedad, de uso de recursos).
6.18
Objetos vinculados e insertados (OLE). Estndar industrial que consiste de un grupo de interfaces
estndar, propiedades y mtodos, para su uso en control de procesos (OPC) y aplicaciones de
automatizacin.
6.19
OPC (OLE for Process Control). Estndar basado en los requerimientos de las tecnologas
denominadas objetos vinculados e insertados (OLE), modelado de componentes de objetos (COM) y
modelado de componentes de objetos distribuidos (DCOM). Estas tecnologas facilitan el intercambio de
datos en forma estandarizada entre aplicaciones de control y automatizacin, entre dispositivos y sistemas
de campo y entre aplicaciones administrativas y de oficina.
6.20
Portal. Es un sitio web cuyo objetivo es ofrecer al usuario, de forma fcil e integrada, el acceso a
una serie de recursos y de servicios, entre los que se suelen encontrar buscadores, foros, documentos,
aplicaciones, compra electrnica, entre otros.
6.21
Privacidad. Protege de intrusiones, que podran derivar de actividades en la observacin de las
redes.
6.22
Recuperacin de desastres. Se refiere a una recuperacin de desastre natural, un plan de
contingencia puede anticipar y responder al propsito del plan de recuperacin de desastres si es bastante
amplio el alcance.
6.23
Red administrativa. Es una red de rea local (LAN) independiente de la red industrial, utilizada para
la interconexin de computadoras, impresoras y perifricos que dan servicio a reas exclusivamente
administrativas.
6.24
Red de control. Es una red dedicada e independiente para la interconexin de dispositivos de
control (controladores).
6.25
Red de instrumentacin. Es una red dedicada e independiente para la interconexin de
instrumentos, tales como transmisores, entre otros.
6.26
Red industrial. Es una red dedicada (independiente de la red de control del sistema digital) para
intercomunicar dispositivos de uso industrial tales como el servidor historiador y las IHM y tpicamente est
basada en Ethernet y TCP/IP.
9/53

Primera Edicin
P.2.0610.02:2008
6.27
Rplica de datos. Se refiere a la distribucin de copias idnticas de datos crticos, de un servidor
hacia otros, de forma que las peticiones .de acceso a esos datos pueden distribuirse entre los diferentes
servidores que mantengan la rplica
6.28
Respaldo. Procedimiento empleado para la restauracin de datos en caso de falla o desastre. Los
datos se copian generalmente a un medio de almacenaje externo desprendible, que normalmente estn lejos
del sistema principal para su conservacin.
6.29
Seguridad en la comunicacin. Permite asegurar que la informacin fluya solo entre los puntos
autorizados (la informacin no debe ser desviada o interceptada entre estos puntos).
6.30
Servidor integrador historiador. Equipo de cmputo que tiene las caractersticas tcnicas
requeridas paras soportar la integracin de datos y la historizacin de los mismos as como soportar los
programas de los diferentes niveles de integracin.
6.31
Virus. Programa de cmputo el cual es capaz de propagarse a s mismo modificando otros
programas para incluir una copia posiblemente cambiada de s mismo y que es ejecutado cuando el
programa infectado es invocado.
6.32
Vulnerabilidad. Una debilidad o error en el diseo, implementacin operacin y administracin de
un sistema que puede ser explotada para violar la integridad del sistema o las polticas de seguridad.
6.33
Zona Desmilitarizada. Una DMZ (del ingls Demilitarized Zone) o Zona Desmilitarizada es una red
local (una subred) que se ubica entre la red interna de una organizacin y una red externa. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que
las conexiones desde la DMZ slo se permitan a la red externa, los equipos en la DMZ no se pueden
conectar con la red interna.
7.
Smbolos y abreviaturas
7.1
CDTI
Centro de Datos Tcnicos e Industriales.
7.2
COM
Component Object Model (Modelo de componentes de objetos).
7.3
DCOM
Distributed Component Object Model (Modelado de componentes de objetos

distribuidos).
7.4
DDE
Dynamic Data Exchange (Intercambio dinmico de datos).
7.5
DMZ
Demilitarized Zone (Zona desmilitarizada).
7.6
DNS
Domain Name Server (Servidor de nombres de dominio).
7.7
ERP
Enterprise Resource Planning (Planificacin de Recursos Empresariales).
7.8
EVDO
Solucin tecnolgica para integracin de datos.
7.9
GIS
Geographical Information System (Sistema de Informacin Geogrfica).
10/53

Primera Edicin
P.2.0610.02:2008
7.10
GSM/GPRS Global System Movil/General Package Radio Service (Comunicaciones mviles para
sistemas globales / servicio de radio empaquetado general).
7.11
HTML
Hipertext Markup Languaje (Lenguaje de marcacin de hipertexto).
7.12
http
Hipertext Transfer Protocol (Protocolo de transferencia de hipertexto).
7.13
IHM
Human Machine Interface (Interfaz humano mquina).
7.14
ISDPI
Integracin y Seguridad de Datos de Procesos Industriales.
7.15
KPI
Grficos, tendencias e indicadores.
7.16
LAN
Local rea Network (Red de rea Local).
7.17
MAN
Metropolitan Area Network (Red de rea metropolitana).
7.18
OLE
Object Linking Embeded (Objetos vinculados e insertados).
7.19
OPC
Ole for Process Control (Objetos vinculados e insertados para el control de procesos)
7.20
PEP
PEMEX-Exploracin y Produccin.
7.21
PLC
Programmable Logic Controler (Controlador lgico programable).
7.22
PRODML
Formato de transferencia dinmica de datos.
7.23
RAM
Random Access Memory (Memoria de acceso aleatorio).
7.24
RDBMS
Relational Data Base Management System (Sistema Administrador de Bases de

Datos Relacionales).
7.25
RTPM
Real time Platform Manage (Administracin de Plataforma de Tiempo real).
7.26
SCADA
Supervisory Control And Data Adquisition (Control supervisorio y adquisicin de

datos).
7.27
SCD
Sistema de Control Distribuido.
7.28
SDMC
Sistema Digital de Monitoreo y Control.
7.29
SIS
Sistema Instrumentado de Seguridad.
7.30
TAG
Etiqueta o marca de identificacin.
7.31
TCP/IP
Transport Control Protocol/Internet Protocol (Protocolo de control de transporte

protocolo de Internet).
7.32
TI
Tecnologa de Informacin.
7.33
TR
Tiempo real.
11/53

Primera Edicin
P.2.0610.02:2008
7.34
UHF
Ultra High Frecuency (Ultra alta frecuencia).
7.35
URL
Uniform Resources Locator (Localizador Uniforme de Recursos).
7.36
VLAN
Virtual Local rea Network (Red Virtual de rea Local)
7.37
VPN
Virtual Private Network (Red Privada Virtual).
7.38
WAN
Wide Area Network (Red de rea amplia).
7.39
WITSML
Formato de transferencia dinmica de datos.
7.40
XML
Extensible Markup Language (Lenguaje de marcacin extensible).
8.
Desarrollo
8.1
Generalidades
8.1.1 La Integracin y Seguridad de Datos de Procesos Industriales es uno de los objetivos de la

estrategia que PEP lleva a cabo para lograr un manejo oportuno y confiable de los datos de procesos de
Tiempo Real TR derivados de la automatizacin integrada para el manejo de los hidrocarburos, misma que
involucra a todos los SDMC, que se establecen en el anexo 11.7 de la presente especificacin tcnica; as
como la infraestructura de comunicaciones, la infraestructura de computo y los sistemas de informacin
empresariales de PEP, un ejemplo de estos ltimos es el sistema ADITEP, estrategia que permite mantener
y proteger los datos tcnicos.
8.1.2 En la etapa de inspeccin, durante la fabricacin de de los equipos para la integracin y seguridad
de datos de procesos industriales, se debe cumplir con el numeral 8.2.2 (Nivel II) de la NRF-049-PEMEX2006. As mismo, el suministro, instalacin, configuracin, pruebas y puesta en operacin de un SDMC de
un proceso o parte de l, el proveedor o contratista debe llevar a cabo la integracin de los datos de
procesos industriales.
8.1.3 El proveedor o contratista, con base en los requerimientos que se establecen en esta especificacin
tcnica, debe proporcionar la proteccin y seguridad de los datos de TR de los procesos industriales de los
SDMC, a fin de evitar las amenazas relacionadas con las actividades humanas de carcter malicioso.
8.1.4 Para ello el proveedor o contratista debe identificar y analizar las vulnerabilidades de seguridad de
informacin en un SDMC implantando medidas, conforme a esta especificacin tcnica, para evitar los
riesgos asociados con el manejo e integracin de la misma.
8.1.5 El proveedor o contratista, con base en los requerimientos que se establecen en esta especificacin
tcnica, debe evitar el acceso de un intruso a cualquier red de PEP, donde se manejen datos de TR de
procesos industriales provenientes de un SDMC, a fin de evitar transmitir informacin errnea.
8.2
Integracin y Seguridad de Datos de Procesos Industriales (ISDPI)
El proveedor o contratista debe proporcionar, conforme a esta especificacin tcnica, los servicios para la
integracin y seguridad de datos de TR de procesos industriales provenientes de los SDMC en los niveles de
proceso, estacin, supervisin, evaluacin y planeacin y toma de decisiones, proporcionando la seguridad y
la confiabilidad en el acceso a datos de TR; as mismo, debe identificar y administrar las vulnerabilidades
12/53

Primera Edicin
P.2.0610.02:2008
inherentes en la composicin del equipo (hardware) y programas (software), arquitectura y configuracin,

entre la supervisin del recurso humano que controla y opera los sistemas y el medio ambiente en el que se
opera.
8.2.1
Arquitectura del ISDPI
El proveedor o contratista debe presentar la arquitectura tecnolgica donde se muestren los niveles en los
que la recoleccin de datos de TR de proceso, la integracin de los mismos, su preservacin, su
transferencia a los sistemas de informacin y la seguridad de estos, se lleve a cabo de manera ordenada,
facilitando la identificacin y ubicacin de la infraestructura de equipo (hardware), programas (software) y
comunicaciones que se deben considerar para lograr el objetivo de la ISDPI.
8.2.1.1 La arquitectura tecnolgica de la automatizacin integrada de PEP, para lograr la estrategia de
automatizacin integrada desde la exploracin y produccin de hidrocarburos hasta la transformacin en
productos y subproductos derivados, debe cumplir con el anexo 11.1 de esta especificacin tcnica.
8.2.1.2 Para la integracin y seguridad de datos de procesos industriales, el proveedor o contratista debe
cumplir con el flujo de informacin entre los diferentes niveles de cobertura de la pirmide de automatizacin,
que se indica en el anexo 11.2 de esta especificacin tcnica.
8.2.2
Niveles de la arquitectura para la ISDPI
La arquitectura de ISDPI, se debe organizar en los siguientes cinco niveles de automatizacin, los cuales
deben cumplir con los niveles de la pirmide de automatizacin indicada en el anexo 11.2 de esta
a)
b)
c)
d)
e)
Nivel de proceso (Instrumentacin).

Nivel de estacin (Controladores de los SDMC).
Nivel de supervisin (Monitoreo y acciones de control en los SDMC).
Nivel de evaluacin y planeacin (Manejo de informacin).
Nivel toma de decisiones.
8.2.2.1 Se deben identificar los servicios y la infraestructura existente conforme a los niveles de cobertura
indicados en numeral anterior, y aprovechar la infraestructura existente de PEP.
8.2.2.2 La arquitectura debe estar organizada verticalmente iniciando en el nivel inferior (proceso) llegando
hasta al nivel superior (toma de decisiones), organizada horizontalmente con los diferentes tipos de SDMC
que tpicamente se emplean en los procesos industriales de PEP, conforme al anexo 11.1 de esta
especificacin tcnica y al 11.1 de la P.2.0000.03.
8.2.2.3 As mismo conforme a esta arquitectura se debe identificar de acuerdo al nivel y al tipo de proceso
industrial, los componentes mnimos requeridos para la integracin de los datos de TR y la seguridad de los
mismos, se deben describir los aspectos generales en la seccin correspondiente a cada nivel y los detalles
en las hojas de especificacin al final de esta especificacin tcnica.
8.2.3 Soluciones y esquemas tecnolgicos para la seguridad de datos de TR de la arquitectura de
la ISDPI
Conforme a la arquitectura de ISDPI, los proveedores o contratistas deben emplear diferentes soluciones y
esquemas tecnolgicos para lograr la integracin segura de los datos del proceso para todos los niveles.
13/53

Primera Edicin
P.2.0610.02:2008
8.2.3.1 Los requisitos que los proveedores o contratistas deben cumplir, para proporcionar una conexin
segura para la integracin de datos de proceso son los siguientes:
a)
b)
c)
d)
Se debe contar con una segmentacin fsica y lgica entre las redes de datos (industrial y
administrativa), ejemplo; se deben separar la red industrial y la red administrativa, es decir; debe existir
una red industrial conformada por cableado fsico o inalmbrica para manejo de datos nica y
exclusivamente para los SDMC, redundante, separada e independiente (fsica y lgicamente) de la red
administrativa; de igual forma, para la red cableada se debe cumplir con la NRF-022-PEMEX-2008.
La segmentacin debe estar resguardada con un equipo que su nica funcin sea la de seguridad.
La red industrial debe estar conformada por equipos de comunicacin que cumplan con
especificaciones y certificaciones industriales (aplicable a los niveles de estacin y supervisin)
Se debe establecer una separacin del trfico en la WAN/MAN de acuerdo a la tecnologa de
telecomunicaciones existente o propuesta.
8.2.3.2 Las tecnologas que deben utilizar los proveedores o contratistas para transportar e integrar los
datos que provienen del nivel proceso y que se obtienen de un SDMC, deben estar en funcin de los
requisitos especficos del proyecto; dichas tecnologas (redes) para transportar y manejar los datos, deben
ser compatibles con las existentes en PEP, tales como:
a)
b)
Red cableada
Red inalmbrica:
UHF
Espectro disperso (Banda licenciada)
WIFI (802.x)
Red satelital
Estas tecnologas (redes) de transporte de datos deben manejar modelos de encriptacin de datos para
llevarlos de una manera segura a los servidores integradores/historiadores.
8.2.3.3 Cuando los servicios o tecnologas (solucin tecnolgicas) para la integracin de datos de
procesos de los sistemas industriales sean a travs de proveedores o contratistas, se debe cumplir con la
disponibilidad y confiabilidad del alcance del contrato conforme a los requerimientos especficos del rea
usuaria de PEP; as mismo, no se debe contemplar el uso de las siguientes tecnologas: GSM, GPRS,
EVDO, entre otras. La solucin tecnolgica que se emplee debe cubrir las siguientes funcionalidades para la
seguridad de los datos:
Controles de acceso.
Autenticacin.
No-Repudiacin.
Confiabilidad del dato.
Seguridad en la comunicacin.
Integridad del dato.
Disponibilidad.
Privacidad.
a)
La seguridad en el control de acceso a usuarios debe proteger a las redes y equipos, contra el uso de
recursos no autorizados y asegurar que solo personal o dispositivos autorizados son permitidos a
acceder a los elementos de red, informacin almacenada, al flujo de la informacin, servicios y
aplicaciones autorizadas.
La seguridad en los sistemas de autenticacin debe servir para confirmar las identidades de las partes
que se estn comunicando. La autenticacin debe garantizar la validez de la identidad solicitada por las
entidades participantes en la comunicacin, (personas, dispositivos, servicios o aplicaciones)
b)
14/53

Primera Edicin
c)
d)
e)
f)
g)
P.2.0610.02:2008
garantizando que la entidad no est pretendiendo enmascarar o reproducir una comunicacin previa no
autorizada.
La seguridad en la no repudiacin en los datos debe proveer los medios para la prevencin de una
accin en particular relacionada con los datos y que una persona o entidad niegue haber ejecutado al
poner a disposicin pruebas relacionadas con la red (tales como pruebas de obligacin, intento o
aceptacin, pruebas de orgenes de datos, de propiedad, de uso de recursos). Debe asegurar la
disponibilidad de pruebas que se pueden presentar a un tercero y se debe utilizar para demostrar que
algn tipo de evento o accin ha tenido lugar.
La seguridad en la confiabilidad de los datos los debe proteger de una divulgacin no autorizada, y
asegurar que el contenido de los datos no pueda ser entendido por entidades que no estn autorizadas
para su acceso. La encriptacin, listas de control de acceso y permisos en archivos deben ser mtodos
utilizados para proveer confidencialidad a los datos.
La seguridad en las comunicaciones nos debe permitir asegurar que la informacin fluya solo entre los
puntos autorizados (la informacin no debe ser desviada o interceptada entre estos puntos).
La seguridad en la integridad de los datos debe garantizar su exactitud o precisin. El dato debe ser
protegido contra modificaciones no autorizadas, supresin, creacin y replicacin y debe proveer un
indicador de estas actividades no autorizadas.
La disponibilidad debe garantizar que no hay negacin en el acceso autorizado a los elementos de red,
a la informacin almacenada, al flujo de la informacin, servicios y aplicaciones a menos que exista un
evento que impacte a la red, por lo que las soluciones de recuperacin de desastres deben ser parte de
la disponibilidad de la seguridad de la informacin.
La seguridad en la privacidad de la informacin debe protegerla de intrusiones que pueden derivar de

actividades en el monitoreo de las redes. Ejemplo de ellos son los sitios Web que el usuario a visitado,
localizaciones geogrficas e IP y nombres DNS de dispositivos dentro de la red.
8.2.4 Categorizacin de instalaciones. La identificacin del sitio o lugar donde la integracin y la
seguridad de los datos de procesos industriales se realizan por parte del proveedor o contratista, se debe
llevar a cabo conforme a la categorizacin y descripcin siguiente:
Instalaciones remotas.
Instalaciones centrales.
Instalaciones tripuladas.
Instalaciones no tripuladas.
Oficinas centrales nacionales / sede.
Oficinas administrativas regionales / regin.
Oficinas administrativas locales / activo (opcional).
a)
Las instalaciones remotas, son aquellas que se localizan costa adentro o costa afuera (plataformas
marinas), planta, estacin, pozo, o rea industrial donde los datos de proceso de TR se generan y la
integracin de los mismos solo es posible a travs de una instalacin central la cual recolecta y
concentra el monitoreo y/o control de las instalaciones remotas.
Las instalaciones centrales, son aquellas instalaciones donde se concentra el monitoreo y control de
varios procesos industriales y la integracin de los datos de TR de procesos industriales se debe llevar
a cabo aprovechando la infraestructura de monitoreo y control de proceso existente en estas
instalaciones.
Las instalaciones tripuladas, son aquellas instalaciones donde se cuenta de manera permanente con
personal de operacin y/o mantenimiento para supervisar las condiciones operativas de la instalacin
misma y de otras instalaciones remotas a travs de SDMC.
Las instalaciones no tripuladas, son aquellas instalaciones que no cuentan con personal de operacin o
mantenimiento de manera permanente, por consiguiente la integracin de los datos de proceso de TR
tiene mayor relevancia al facilitar la supervisin de dichas instalaciones aprovechando los SDMC.
b)
c)
d)
15/53

Primera Edicin
e)
f)
g)
P.2.0610.02:2008
Las oficinas centrales nacionales / sede, es el rea de PEP donde se concentran los servicios de
recoleccin, preservacin, intercambio y publicacin de datos de procesos industriales a nivel nacional,
cuentan con sistemas empresariales administrativos y tcnicos de alcance nacional o externos a PEP,
es decir en las oficinas centrales nacionales se replican los datos de TR de procesos industriales que se
integran en las oficinas centrales regionales.
Las oficinas administrativas regionales / regin, son las reas de PEP donde se recolecta, preserva,
integra y publican los datos de procesos industriales de las instalaciones tripuladas y no tripuladas
pertenecientes geogrficamente a una de las regiones de PEP.
Las oficinas administrativas locales / activo, son las reas de PEP donde se integran y preservan los
datos de TR de proceso de las instalaciones industriales tripuladas y no tripuladas que pertenecen a
una Gerencia o Activo Integral
8.3
Integracin y seguridad de datos en el nivel de Proceso
El proveedor o contratista debe llevar a cabo las actividades de integracin y seguridad de datos de TR, de
la instrumentacin de campo (elementos primarios y finales de control) al siguiente nivel de la arquitectura
cumpliendo los estndares de seguridad de datos y con la NRF-105-PEMEX-2005.
8.3.1
Integracin de datos en el nivel de Proceso
El proveedor o contratista debe llevar a cabo la integracin de los datos de TR de procesos industriales
desde la instrumentacin de campo existente hacia el SDMC de la instalacin.
8.3.1.1 A excepcin del equipo de instrumentacin que se integra a un controlador, el proveedor o
contratista debe aplicar de forma particular los requisitos del nivel de estacin. Por consiguiente, para la
integracin de datos de proceso en este nivel se debe cumplir lo siguiente:
a)
b)
c)
d)
Se debe apegar a la normatividad aplicable a la instrumentacin de campo correspondiente al proceso

en cuestin.
Se deben Identificar los datos de proceso con el TAG asignado al instrumento conforme a la
especificacin P.2.0401.02.
Los datos de la variable medida y la variable controlada se deben llevar al nivel de estacin.
Los datos de las variables de proceso de la instrumentacin de campo que se utilicen para acciones de
control de proceso, se deben llevar al nivel de estacin para la integracin de estos datos conforme a la
arquitectura de ISDPI.
8.3.2
Seguridad de datos en el nivel de Proceso
Los mtodos de seguridad deben ser en base a los protocolos definidos en la NRF-046-PEMEX-2003, los
proveedores o contratistas deben cumplir lo siguiente:
a)
b)
No se deben realizar conexiones a internet o directas a una red administrativa desde la red del nivel de
proceso y viceversa.
Se deben restringir los accesos en la red del nivel de proceso mediante claves de acceso (password).
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no autorizados,
interferencias y/o daos, se deben utilizar esquemas y medios de seguridad establecidos por Organismos
Internacionales de Normalizacin y fabricantes de este tipo de redes y sistemas.
8.3.3
Especificaciones tcnicas en el nivel de Proceso
Deben ser las correspondientes a la instrumentacin de campo.
16/53

Primera Edicin
8.3.4
P.2.0610.02:2008
Protocolos de comunicacin en el nivel de Proceso
Para la integracin de datos de TR de la instrumentacin de campo hacia los SDMC ubicados en las
instalaciones industriales, los proveedores o contratistas deben emplear los protocolos de comunicacin que
cumplan con las funcionalidades que se establecen en la NRF-046-PEMEX-2003.
8.4
Integracin y seguridad de datos en el nivel de Estacin
Las actividades para la integracin y la seguridad de los datos de TR del monitoreo y/o control del proceso,
de los datos de TR en el nivel de estacin deben asegurar que los datos de TR se lleven a travs de la red
Industrial, al nivel de supervisin de la arquitectura ISDPI, cumpliendo los estndares de seguridad de los
datos; adicionalmente se debe cumplir con los siguientes requisitos:
a)
b)
c)
d)
Proveer datos de TR hacia el nivel supervisin.

La identificacin de los datos de TR de proceso requeridos para su integracin, se debe asignar de
acuerdo al tipo de variable, conforme al anexo 11.3 de esta especificacin tcnica.
Se debe elaborar una memoria tcnica listando los TAGs asignados a cada dato incluyendo como
mnimo: nombre del TAG, ubicacin fsica del instrumento, descripcin de la variable, unidades de
ingeniera, protocolo de comunicacin utilizado, puertos de comunicacin empleados, puertos de
comunicacin disponibles, valores: mnimo, mximo, punto de ajuste o referencia de la variable medida
para considerarse valor anormal.
El SDMC debe tener la capacidad de almacenar los datos de TR de proceso (identificacin) mnimo
durante tres meses, es decir el SDMC debe tener capacidad de almacenar los datos histricos
aplicando la tecnologa necesaria (software y/o hardware) en la IHM o en el servidor historiador, sin que
esto afecte el desempeo del SDMC.
8.4.1
Integracin de datos en el nivel de Estacin
En este nivel los proveedores o contratistas deben recolectar los datos de TR de proceso, aprovechando la
infraestructura de equipo (hardware), programas (software) y comunicaciones asociadas a los SDMC de
procesos existentes o futuros para la integracin de los datos de TR de proceso al nivel de supervisin
conforme a lo siguiente:
a)
b)
c)
d)
Se debe elaborar el inventario de los componentes de equipo (hardware), programas (software),

seguridad y comunicaciones de los SDMC incluyendo como mnimo, las caractersticas del controlador,
los servidores, las IHM, los equipos de comunicaciones y las caractersticas de los programas
(software) instalados en cada uno de estos.
Para integrar los datos de TR de proceso hacia el nivel de supervisin, se debe identificar en que
equipo del SDMC se guardan los registros de las variables medidas y/o controladas, comnmente
llamados TAG. En la mayora de los casos estos datos se almacenan en el disco duro de la IHM o en
el disco duro del servidor de datos histricos.
Se debe habilitar la conectividad a la red industrial especficamente para el equipo que almacena las
variables de proceso conforme a las indicaciones de seguridad de datos del nivel de estacin para su
integracin al nivel de supervisin.
En el equipo donde se almacenan las variables de proceso se debe instalar la interfaz para el
intercambio dinmico de datos adecuada a las caractersticas del SDMC (programas (software) y
equipo (hardware) del IHM o del servidor historiador), de acuerdo a lo siguiente:
Para el caso en que el SDMC cuente con un servidor historiador y una IHM, se debe instalar la interfaz
en el servidor historiador.
Para el caso de que el SDMC no cuente con servidor historiador, la interfaz se debe instalar en el IHM
del operador.
Si el IHM del operador no cuenta con capacidad suficiente para soportar la interfaz a instalar, se debe
17/53

Primera Edicin
e)
P.2.0610.02:2008
suministrar una IHM o un servidor que replique los datos de la IHM del operador y en esta se debe
instalar la interfaz o se debe reemplazar el IHM del operador por una de mayor capacidad, dejando la
misma con la configuracin de programa (software) original.
Las caractersticas de la Interfaz para el intercambio dinmico de datos deben ser conforme a lo
siguiente:
La interfaz para intercambio dinmico de datos se debe instalar en el equipo donde residen los datos de
TR de proceso.
La interfaz para intercambio dinmico de datos debe tener la capacidad de almacenar temporalmente
los datos (Buffer) en caso de falla de las comunicaciones en la red industrial y cuando la comunicacin
se restablezca el servidor integrador historiador a nivel de red administrativa debe reconstruir los datos
que no fueron enviados durante la interrupcin.
La IHM (consola del operador) o el servidor debe tener capacidad de almacenamiento en disco duro
para que los datos recolectados por la interfaz para intercambio dinmico de datos sean preservados
por al menos tres meses, en caso de falla de las comunicaciones, considerando esta capacidad de
almacenamiento independiente de la requerida para la operacin del propio IHM.
Los formatos de transferencia dinmica de datos que se permiten deben ser WITSML, PRODML, OPC
y/o series de tiempo, de acuerdo con la aplicacin y conforme con la NRF-046-PEMEX-2003.
8.4.2
Seguridad de datos en el nivel de Estacin
La red de datos que se ubica en este nivel debe ser la red de control, los mtodos de seguridad que deben
cumplir los proveedores o contratistas deben ser en base a los protocolos definidos en la NRF-046-PEMEX2003. Cuando la red de control se interconecte con la red industrial (Ethernet industrial), derivado de las
diferentes tecnologas de automatizacin que se deben implantar, el proveedor o contratista debe de analizar
si es para proceso (control y/o monitoreo) o de un SIS. Los proveedores o contratistas deben cumplir con lo
siguiente:
a)
b)
c)
Bajo ninguna circunstancia en cualquiera de los casos anteriores, se debe establecer una conexin
directa hacia la red administrativa, a partir del nivel de evaluacin y planeacin. El proveedor o
contratista debe cumplir con lo siguiente:
No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del nivel
estacin; y viceversa.
Se deben de restringir los accesos en la red del nivel estacin.
Solo se debe autorizar el acceso a los equipos que operen como integradores/historiadores.
Los sistemas que requieran de acceso remoto en la red del nivel estacin, deben tener un mtodo de
seguridad aprobado por PEP.
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no
autorizados, interferencias y/o daos, deben utilizar esquemas y medios de seguridad establecidos por
Organismos Internacionales de Normalizacin y fabricantes de este tipo de redes y sistemas.
Solo se permite trfico de los protocolos definidos en la NRF-046-PEMEX-2003 y los que PEP apruebe.
Se deben emplear mecanismos para el monitoreo, respaldos, recuperacin de desastres y controles de
actualizaciones en la infraestructura de computo y de comunicaciones, as como de los datos de
proceso.
En el caso de los computadores de flujo, la integracin de sus variables se deber dar, como primera
opcin a travs del SDMC, de no existir este sistema, se debe de instalar en el cuarto de control un
equipo de interfaz para la integracin de variables que posteriormente se deben enviar al servidor
integrador en la red industrial.
Es responsabilidad del personal de la plataforma de tiempo real de PEP el dar soporte y servicio a la
infraestructura de cmputo, comunicaciones y seguridad, en este nivel.
8.4.2.1 Control del proceso. Debe existir redundancia en las telecomunicaciones del proceso, lo cual nos
proporciona disponibilidad y confiabilidad de cualquier accin que se tome en la operacin de los sistemas,
18/53

Primera Edicin
P.2.0610.02:2008
conforme a numeral 8.4.2.2.2 de la NRF-046-PEMEX-2003, los proveedores o contratistas deben cumplir

con lo siguiente:
a)
El equipo interfaz para el intercambio dinmico de datos de TR, debe ser el nico contacto hacia la red
industrial, el cual debe ser protegido con un equipo de seguridad adicional (fsico o lgico) hacia las
redes de datos superiores.
8.4.2.2 Monitoreo del proceso. Se debe contar con una segmentacin fsica y lgica en la cual se ha
destinado un direccionamiento IP, que se describe en el anexo 11.8.6 de esta especificacin tcnica. Los
proveedores o contratistas deben cumplir con lo siguiente:
8.4.2.2.1
Para la integracin de las variables de proceso a travs de la red Industrial, se debe instalar en
el servidor historiador la interfaz que enve dichos datos al nivel de supervisin, de no contar con dicho
servidor se debe adquirir un equipo adicional para la instalacin de la interfaz.
8.4.2.2.2
El equipo que tenga la interfaz debe ser el nico contacto hacia la red del nivel de estacin, la
cual debe ser resguardada con un equipo de seguridad.
8.4.2.2.3
Se debe proponer, la solucin tecnolgica en la arquitectura de red que permita un
escalamiento, para un posterior requerimiento de control.
8.4.2.3 Sistemas instrumentados de seguridad. Para los procesos crticos, las redes de comunicaciones
de los SIS deben cumplir con lo siguiente:
a)
b)
c)
d)
Deben de contar con redundancia en las telecomunicaciones donde el trfico sea exclusivamente del
proceso, lo cual proporciona la disponibilidad y confiabilidad de cualquier accin que se tome en la
operacin de los sistemas instrumentados de seguridad, de acuerdo a la NRF-046-PEMEX-2003 en su
numeral 8.4.2.2.2.
Se debe contar con una segmentacin fsica y lgica tanto del proceso como de la red administrativa
para la cual se ha destinado un direccionamiento IP, conforme el anexo 11.8 de esta especificacin
tcnica.
Para la integracin de las variables se debe instalar en el servidor integrador/historiador la interfaz que
enve los datos al nivel de supervisin, de no contar con dicho servidor se debe adquirir un equipo
adicional para la instalacin de la interfaz. As mismo, se debe instalar una tarjeta de red adicional en el
SIS (nivel de estacin) para establecer la conexin hacia el siguiente nivel de supervisin a travs de la
red industrial.
El equipo que tenga la interfaz debe ser el nico contacto hacia la red del nivel de estacin, la cual debe
ser resguardada con un equipo de seguridad.
8.4.3
Especificaciones tcnicas en el nivel de Estacin
Los proveedores o contratistas deben seleccionar las especificaciones tcnicas de la infraestructura de

cmputo y comunicaciones en el nivel de estacin conforme a la hoja de datos tcnicos que se definen en el
11.6 de esta especificacin tcnica.
8.4.4
Protocolos de comunicacin en el nivel de estacin
Para la integracin de datos de TR en este nivel se requiere de interfaces para el intercambio dinmico de
datos para llevar a cabo la transferencia de datos desde el nivel de estacin al nivel de supervisin, para lo
cual los proveedores o contratistas deben utilizar arquitectura abierta y estndares de la industria. Las
interfaces permitidas en este nivel deben ser OPC, WITSML y cumplir con el numeral 8.2.3 de la NRF-046PEMEX-2003.
19/53

Primera Edicin
8.5
P.2.0610.02:2008
Integracin y seguridad de datos en el nivel de Supervisin
En este nivel se deben integrar, almacenar y distribuir los datos de TR de proceso, los proveedores o
contratistas deben cumplir con:
a)
b)
c)
d)
e)
f)
Proveer datos hacia el nivel de planeacin y anlisis conforme al anexo 11.5 de esta especificacin
tcnica.
Proveer datos de TR de proceso, en este nivel, para propsitos de administracin del activo, planeacin
estratgica para el desarrollo y explotacin de los yacimientos, elaborar y ejecutar los programas de
operacin de pozos, vigilar y mantener el estado ptimo de las instalaciones, optimizacin (fuera de
lnea/en lnea y en tiempo real) de los procesos a travs de herramientas de anlisis y simulacin y
procesamiento estadstico para determinar la calidad de los productos y el desempeo de la produccin.
Considerar la posibilidad de tener ms de un caso de integracin de datos:
Caso de integracin de Instalaciones administrativas de sector (monitoreo y control remoto).
Caso de integracin de Instalaciones administrativas de activo (monitoreo y control remoto).
La eleccin de un caso o sus combinaciones debe depender de la infraestructura de cmputo y
comunicacin disponible, para el requerimiento en particular de las soluciones de integracin de datos
hacia las instalaciones administrativas regionales y las de sede; en estos ltimos se debe considerar la
replicacin de datos.
Se deben integrar los datos de proceso generados en las diferentes instalaciones centrales terrestres o
marinas, que pueden pertenecer a un sector de un activo, a un activo o a varios activos (integracin a
nivel regional en un solo centro), utilizando el mnimo de infraestructura de integracin en las
instalaciones administrativas, por lo que se debe considerar la integracin de informacin en un solo
centro de integracin, con la finalidad de reducir costos de inversin, operacin y mantenimiento.
La viabilidad de cumplir con dicha poltica, debe depender de la localizacin geogrfica de las
instalaciones administrativas de cada sector, las del activo y las de la regin, as como de la
disponibilidad y capacidad de la infraestructura de comunicaciones, para la rplica de datos entre las
mismas; por lo que a continuacin en primer lugar se establecen las funciones de este nivel y
posteriormente los casos de integracin que se pueden tener en instalaciones administrativas.
8.5.1
Integracin de datos en el nivel de Supervisin
En el nivel de supervisin la integracin de los datos de proceso se deben encontrar en los servidores
integradores historiadores de tiempo real, los cuales se deben encargar de recibir los datos enviados por las
interfaces de intercambio dinmico de datos, previamente instaladas en las IHM (consola del operador) o en
el servidor historiador propio del SDMC.
a)
b)
c)
d)
El servidor integrador historiador debe integrar los datos de proceso de diversos sistemas digitales de
monitoreo y control, consolidando una sola base de datos en tiempo real de mltiples y diversos
procesos. Y debe historiar o preservar estos datos, para analizar los datos con respecto al tiempo, al
contar con la facilidad de utilizar los datos histricos de algn proceso o procesos.
La integracin de datos en el nivel de supervisin se debe basar en los servidores integradores
historiadores, siendo estos servidores el principal componente para alcanzar la integracin de los datos
de proceso en tiempo real de los SDMC.
Los servidores integradores historiadores, debe ser infraestructura de computo independiente del
SDMC para historiar sus propios datos como parte del monitoreo y control de proceso. Por lo anterior, el
servidor integrador historiador se debe considerar como prioridad, el aprovechamiento de los recursos
de infraestructura existentes, tales como la plataforma de tiempo real vigente de PEP (Regiones,
Activos Integrales y Gerencias).
Conforme a la arquitectura de ISDPI los servidores integradores historiadores, se deben ubicar
fsicamente en los centros de datos tcnicos e industriales (SITE de computo industrial) adyacentes a
20/53

Primera Edicin
e)
los centros de monitoreo y control centralizado, a las salas de visualizacin, salas de monitoreo
centralizado, centros de operaciones integradas o los centros de atencin de emergencias.
Los servidores integradores historiadores del nivel de supervisin geogrficamente deben cumplir dos
funciones, la primera es integrar e historiar los datos de las instalaciones remotas y centrales tanto
tripuladas como no tripuladas, la segunda funcin es proveer datos de tiempo real a nivel oficinas
administrativas locales /activo o sector y a las oficinas administrativas regionales / regin.
8.5.1.1
a)
b)
c)
d)
b)
c)
d)
e)
Oficinas administrativas locales / activo o sector
Su objetivo debe ser el almacenamiento de datos de procesos industriales a nivel activo o sector,
nicamente se guardaran y explotaran datos de las instalaciones del propio activo o sector.
En caso de existir servidores integrador historiador a nivel de complejo, plataforma o instalacin, el
servidor historiador integrador del activo o sector deber almacenar o replicar los datos de procesos
industriales a su servidor para tener acceso a los datos.
Debe proporcionar datos de procesos industriales al servidor regional.
Este nivel de integracin corresponde a los datos generados en las instalaciones centrales a su cargo, y
de las cuales los proveedores o contratistas deben seleccionar los datos de procesos industriales, as
como integrar y enviar hacia el servidor integrador historiador regional.
8.5.1.2
a)
P.2.0610.02:2008
Oficinas administrativas regionales / regin
El objetivo del servidor integrador historiador en oficinas administrativas regionales debe ser el
almacenamiento de datos de procesos industriales provenientes del nivel de supervisin, en caso de
existir servidores integradores historiadores en activos, campos o complejos se tiene la posibilidad de
replicar datos de procesos industriales a su servidor.
Cuando las oficinas administrativas regionales se localicen geogrficamente en el mismo lugar que las
oficinas del activo, se deben integrar los datos de proceso de las diferentes instalaciones, sectores y/o
activos, segn sea el caso, en un solo centro de integracin.
Debe permitir acceso a portal de tiempo real con la finalidad de consultar la informacin y clculos que
residan en este servidor para el nivel regional, segn se fijen las polticas de seguridad y acceso a la
informacin.
Debe Proporcionar datos al servidor integrador historiador de oficinas centrales.
Se debe considerar la integracin de datos a nivel regin, cuando se cumplan las siguientes
condiciones:
Que una regin administre ms de una instalacin.
Cuando la localizacin geogrfica de las diferentes instalaciones sea distante, y no se disponga de

infraestructura de telecomunicaciones con la capacidad y disponibilidad apropiada para la rplica datos.
8.5.2
Seguridad de datos en el nivel de Supervisin
En este nivel debe operar la red industrial y es donde se ubica un gran nmero de componentes y servicios
de tecnologa de informacin (TI) (como son servidores, equipos de comunicacin, equipo de cmputo
personal, sistemas, aplicaciones, entre otros.) con protocolos ms expuestos a ataques y violaciones
(TCP/IP), por lo que los proveedores o contratistas deben de considerar lo siguiente:
a)
b)
c)
d)
e)
No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del nivel de
supervisin; y viceversa.
Se deben de restringir los accesos en la red del nivel de supervisin.
Solo debe ser autorizado el acceso a los equipos que funjan como integradores/historiadores.
Los sistemas que requieran de acceso remoto en la red del nivel de supervisin, deben contar con un
mtodo de seguridad estricto y aprobado por PEP.
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no
21/53

Primera Edicin
f)
g)
P.2.0610.02:2008
autorizados, interferencias y/o daos, utilizando esquemas y medios de seguridad establecidos por
organismos internacionales de normalizacin y fabricantes de este tipo de redes y sistemas.
Solo se debe permitir trfico de los protocolos definidos en la NRF-046-PEMEX-2003 y los que PEP
apruebe.
Se deben emplear mecanismos para el monitoreo, respaldos, recuperacin de desastres y controles de
actualizaciones en la infraestructura de computo y de comunicaciones, as como de los datos de
proceso.
8.5.2.1 Se debe contar con una segmentacin fsica y lgica en la cual se ha destinado un
direccionamiento IP, que viene descrito en el anexo 11.8 de esta especificacin tcnica. Esto aplica para
aquellos equipos que son parte directa del proceso, como son las IHM, impresoras de reportes y los
servidores integradores/historiadores de los sistemas de monitoreo y/o control, los cuales deben cumplir con
las regulaciones descritas en el anexo 11.6 de esta especificacin tcnica.
8.5.2.2 En aquellos niveles de supervisin en donde se requiere contar con acceso a servicios de uso
comn como son el correo electrnico, SAP, aplicaciones de uso administrativo, entre otros. Deben estar
conectados fsicamente en una red independiente de la industrial, como se describe en el anexo 11.8 de
esta especificacin tcnica.
8.5.2.3 El equipo que tenga la interfaz ser el nico contacto hacia la red del nivel de evaluacin y
planeacin, la cual debe ser resguardada con un equipo de seguridad.
8.5.2.4 Debe ser responsabilidad del personal de la plataforma de tiempo real de PEP el dar soporte y
servicio a la infraestructura de cmputo, programas (software), comunicaciones y seguridad, en este nivel.
8.5.3
Especificaciones tcnicas en el nivel de Supervisin
Las especificaciones tcnicas de la infraestructura de cmputo y comunicaciones en el nivel de supervisin

se deben seleccionar conforme a la hoja de datos tcnicos que se definen en el 11.6 de esta especificacin
tcnica.
8.5.4
Protocolos de comunicacin en el nivel de Supervisin
En este nivel se requiere de interfaces para el intercambio dinmico de datos para llevar a cabo la
transferencia de datos desde el nivel de supervisin al nivel de evaluacin y anlisis, para lo cual se deben
utilizar interfaces de arquitectura abierta y estndares de la industria. Las interfaces permitidas en este nivel
deben ser los definidos en el numeral 8.2.3 de la norma de referencia NRF-046-PEMEX-2003.
8.6
Integracin y seguridad de datos en el nivel de Evaluacin y planeacin
El nivel de evaluacin y planeacin es el que permite la interconexin y comunicacin de datos de procesos

industriales entre el nivel de supervisin y el siguiente nivel de toma de decisiones. En este nivel los
proveedores o contratistas deben llevar a cabo la integracin e historizacin de los datos de tiempo real que
viene del nivel de supervisin.
a)
Los datos integrados e historiados se deben almacenar en bases de datos, las cuales deben proveer
datos a las reas de planeacin, coordinaciones tcnicas, optimizacin de procesos, atencin de
emergencias, de simulacin, entre otros. As mismo, en este nivel, ser el nico punto donde se
establecern los mecanismos de interconexin para el intercambio de datos entre el Corporativo y
Organismos Subsidiarios y proveedores o contratistas. Siempre respetando la confidencialidad de la
informacin.
22/53

Primera Edicin
8.6.1
P.2.0610.02:2008
Integracin de datos en el nivel de Evaluacin y planeacin
En el nivel de evaluacin y planeacin el proveedor o contratista debe llevar a cabo la integracin de ms de

un sitio industrial ubicado en el nivel de supervisin, las cuales se definen bsicamente como:
Integracin desde salas de visualizacin y monitoreo centralizado.

Integracin desde centros de monitoreo y control centralizado.
8.6.1.1 De acuerdo a la arquitectura (anexo 11.1), se muestra que debe existir un solo centro de datos
industriales, a nivel nacional, y es donde se debe encontrar ubicada la plataforma de tiempo real, donde se
deben consolidar todos los datos de procesos que provendrn de los diferentes centros de monitoreo y
control de proceso.
8.6.1.2 La viabilidad de cumplir con dicha poltica, debe depender de la localizacin geogrfica, as como
de la disponibilidad y capacidad de la infraestructura de equipo (hardware), programa (software) y
comunicaciones, para la rplica de datos.
8.6.1.3
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
Las funciones de la plataforma de tiempo real de PEP deben cumplir con:
Debe existir un solo centro de datos industriales, el cual debe albergar la plataforma de tiempo real de
PEP.
La funcin de la plataforma de tiempo real debe ser la de recolectar, integrar e historiar datos de
procesos industriales de tiempo real provenientes del nivel de supervisin.
El centro de datos industriales debe ser el nico punto que proporcionar datos de procesos industriales
al nivel de toma de decisiones.
As mismo, debe ser el nico punto que proporcione datos de procesos industriales con otras entidades,
tales como: corporativo y organismos subsidiarios y proveedores o contratistas, debe ser a travs de la
plataforma de tiempo real.
El intercambio de datos de procesos industriales a otras entidades, debe ser a travs de los siguientes
mecanismos:
Interfaces proporcionadas entre los servidores de integracin e historizacin.
Sincronizacin entre RDBMS.
El desarrollo de servicios Web que permitan el acceso / recepcin de datos entre los servidores de
integracin, sistemas empresariales y/o aplicaciones administrativas y tcnicas.
La integracin de datos de procesos industriales de los niveles de supervisin, debe ser a travs de los
siguientes mecanismos:
Interfaces proporcionadas entre los servidores de integracin e historizacin de la plataforma de tiempo
real vigente: Series de tiempo, PRODML, WITSML y OPC
El intercambio o replica de datos de procesos industriales entre los centros de monitoreo y control as
como de las salas de visualizacin debe ser a travs de la plataforma de tiempo real.
La plataforma de tiempo real debe mantener un esquema de alta disponibilidad de los servidores de
integracin e historizacin.
Se deben emplear metodologas y tecnologas para la alta disponibilidad de la informacin,
recuperacin de desastres, monitoreo de la infraestructura de cmputo, comunicaciones y seguridad
que permitan analizar, prevenir y resolver eventos que afecten la operacin de estos.
En el caso de que alguna instalacin en particular, en el nivel de supervisin, ya cuente con servidor
integrador historiador y dispositivos de almacenamiento masivos de informacin; se debe considerar el
uso de dicha infraestructura, y no se deben suministrar estos componentes, a excepcin de que se
justifique la necesidad de incorporar alguno de ellos como un complemento, para proporcionar la
capacidad requerida que se demande en particular.
23/53

Primera Edicin
k)
P.2.0610.02:2008
El acceso a la informacin debe ser por medio de la infraestructura de aplicaciones empresariales.

Donde se deben consultar los datos de procesos industriales, provenientes del nivel de supervisin, y
clculos, segn se fijen las polticas de seguridad y acceso a la informacin.
8.6.1.4 Infraestructura tecnolgica. Para llevar a cabo la integracin e historizacin de datos de

procesos industriales, el proveedor o contratista debe cumplir con los siguientes requerimientos:
a)
b)
o
o
o
o
o
o
o
Integracin e historizacin. El servidor integrador historiador, debe tener como funcin principal, llevar
a cabo la integracin e historizacin de todos aquellos datos de procesos, del nivel de supervisin, que
puedan ser de utilidad para reas de planeacin, coordinaciones tcnicas, optimizacin de procesos,
atencin de emergencias, de simulacin, entre otros y en el nivel de toma de decisiones, para lo cual, el
servidor integrador historiador debe cumplir con las siguientes caractersticas bsicas:
Soportar mltiples protocolos e interfaces de intercambio dinmico de datos, estandarizados y de
arquitectura abierta.
Tener una estructura estandarizada para el manejo y transferencia de datos de tiempo real.
Tener una base de datos especializada del tipo series de tiempo o RDBMS Industrial, para el manejo de
datos de tiempo real.
Tener la capacidad de manejo de grandes volmenes de datos de tiempo real en un solo servidor.
Tener la capacidad para el almacenamiento masivo interno y externo, de los datos.
Utilizar el concepto de integracin basado en el modelo cliente/servidor distribuido.
En este nivel de evaluacin y planeacin, se requiere de interfaces de intercambio dinmico de datos
para llevar a cabo la transferencia de datos de procesos industriales recibidos del nivel supervisin,
para lo cual el proveedor o contratista debe utilizar interfaces de arquitectura abierta y estndares de la
industria. Las interfaces permitidas son las que se relacionan a continuacin:
Interfaces de la plataforma de tiempo real vigente
OPC
SERIES DE TIEMPO
WITSML
PRODML
RDBMS
XML
8.6.1.5 Servidores de aplicaciones avanzadas / optimizacin / simulacin. Deben ser las aplicaciones
orientadas a la industria petrolera que permiten procesar/manejar los datos integrados de los procesos
industriales, analizar la informacin, generar y evaluar modelos o escenarios, contar con elementos para la
optimizacin de procesos, realizar balances de materias, evaluacin de pozos, bases de datos tcnicas,
entre otros.
8.6.1.6 Fuentes de datos. Los datos integrados e historiados deben ser almacenados en una base de
datos industriales para su procesamiento y explotacin de los mismos, adems estos datos deben ser
compartidos con otras aplicaciones de PEP.
8.6.1.7 Aplicaciones tcnicas y servicios. Los datos de procesos industriales integrados e historiados en
este nivel deben ser visualizados mediante un portal operativo, colaborativo industrial y/o de inteligencia de
negocio, en donde se deben incluir grficos y/o tendencias y/o indicadores KPI y/o video de proceso y/o
fichas de datos tcnicos y/o vinculados con sistemas de informacin geogrfica (GIS), as mismo, uno de los
mecanismos de comparticin de datos con el nivel de toma de decisiones o con alguna entidad externa
deben ser servicios web (WebServices) o a travs de accesos controlados
24/53

Primera Edicin
P.2.0610.02:2008
8.6.1.8 Seguridad y monitoreo de la infraestructura. Debe ser la infraestructura necesaria que permite
garantizar la seguridad y disponibilidad de los servicios de la plataforma de tiempo real.
8.6.2
Seguridad de datos en el nivel de Evaluacin y planeacin
En este nivel, la infraestructura de cmputo, comunicaciones y seguridad debe ser completamente

administrada por el personal responsable de la plataforma de tiempo real de los organismos subsidiarios.
Los proveedores o contratistas deben cubrir las funcionalidades de seguridad descritas en el numeral 8.2 de
esta especificacin tcnica, adicionalmente deben cubrir las siguientes funcionalidades:
a)
b)
c)
Se debe resguardar el centro de datos tcnicos e industriales (CDTI) con una DMZ. El cual por
seguridad debe ser el nico proveedor de informacin al nivel de toma de decisiones.
Se deben emplear metodologas y tecnologas para la alta disponibilidad de la informacin,
recuperacin de desastres, monitoreo de la infraestructura de cmputo, comunicaciones y seguridad
que permitan analizar, prevenir y resolver eventos que afecten la operacin de estos.
Las metodologas y tecnologas deben de ser aprobadas por el personal responsable de la plataforma
de tiempo real de PEP.
8.6.3
Especificaciones tcnicas en el nivel de Evaluacin y planeacin
Las especificaciones tcnicas de la infraestructura de cmputo y comunicaciones en el nivel de evaluacin y

planeacin se deben seleccionar conforme a la hoja de especificaciones que se definen en el 11.6 de esta
8.6.4
Protocolos de comunicacin en el nivel de Evaluacin y planeacin
Se requiere de protocolos de comunicacin como medio para intercomunicarse en este nivel y con los
niveles de supervisin y toma de decisiones. El protocolo permitido para este nivel es: TCP/IP.
8.7
Integracin y seguridad de datos en el nivel de Toma de decisiones
En el nivel de toma de decisiones se debe llevar a cabo la interconexin y comunicacin de datos del
proceso desde los niveles de evaluacin y planeacin. En este nivel el proveedor o contratista debe
presentar los datos de tiempo real transformados en informacin / conocimiento, se debe proveer en este
nivel, a las reas ejecutivas y sustantivas del negocio, encargadas de las actividades principales de la
administracin, produccin, mantenimiento, distribucin y venta, perforacin y exploracin.
a)
La presentacin de la informacin de datos de tiempo real de procesos industriales se debe proveer a

travs de la plataforma empresarial (RTPM), as como de interfaces aprobadas y certificadas con los
sistemas empresariales ERP y DATOS TECNICOS, o alguna otra aplicacin empresarial, cumpliendo
con la estructura que se indica en el anexo 11.3 de esta especificacin tcnica.
8.7.1
Integracin de datos en el nivel de Toma de decisiones
En este nivel, los datos integrados e historiados en el nivel de evaluacin y planeacin se deben utilizar para
alimentarse y transferirse a los sistemas empresariales tales como el ERP, o algn otro sistema empresarial.
Estos datos sern los que se requieran en este nivel para la toma de decisiones.
a)
La presentacin de estos datos se debe realizar a travs de herramientas propias de la plataforma de

tiempo real existente, as como con interfaces certificadas para sistemas empresariales, corporativos,
tales como, ERP, BDI, entre otros.
25/53

Primera Edicin
b)
P.2.0610.02:2008
En este nivel, el mecanismo de intercambio de informacin debe ser por medio de las interfaces que el
servidor de integracin cuente, as como para RDBMS, o en caso de no contar con ninguna interfaz, se
debe utilizar el desarrollo de servicios Web que permitan el intercambio de datos XML.
8.7.2
Seguridad de datos en el nivel de Toma de decisiones
Siendo este un nivel administrativo donde las redes son administrativas, la seguridad debe estar sujeta a las
polticas y lineamientos de las reas de Tecnologa de Informacin as como de las de telecomunicaciones.
8.7.3
Especificaciones tcnicas en el nivel de Toma de decisiones
Las especificaciones tcnicas de la infraestructura de cmputo y comunicaciones en el nivel de evaluacin y

planeacin se deben seleccionar conforme a la hoja de datos tcnicos que se definen en el anexo 11.6 de
esta especificacin tcnica.
8.7.4
Protocolos de comunicacin en el nivel de Toma de decisiones
Se requiere de protocolos de comunicacin para intercomunicarse en este nivel y el de supervisin. El

protocolo permitido para este nivel es: TCP/IP.
8.8
Manejo de informacin en Tiempo real
Los proveedores o contratistas deben cumplir con lo siguiente:

8.8.1 La adquisicin e historizacin de datos son los objetivos principales de la plataforma de tiempo real,
y que son de gran ayuda para el monitoreo de los procesos industriales. Por lo cual, se debe garantizar la
confiabilidad, exactitud y el acceso fcil a la informacin mientras se est midiendo.
8.8.2 El proceso de adquisicin de datos no solamente consiste en contar con la infraestructura necesaria
para recopilar las mediciones de los diferentes sistemas de una forma oportuna. El valor de los datos
recopilados de los procesos industriales, para cada uno de los niveles de la pirmide de automatizacin, se
deben convertir en informacin y/o conocimiento til para mejorar y desarrollar los activos de la organizacin.
8.8.3 La informacin y/o conocimiento generado debe permitir a los diferentes clientes, disciplinas,
procesos de negocio, contar con una visin ms completa, de forma oportuna, para la toma de decisiones
con el menor riesgo.
8.8.4 La informacin generada debe ser de utilidad para las diferentes reas operativas, de planeacin,
coordinaciones tcnicas, optimizacin de procesos, atencin de emergencias, de simulacin, entre otros. Y
se debe organizar en diferentes disciplinas, como se indica a continuacin:
Mantenimiento.
Seguridad industrial.
Perforacin.
Produccin.
Transporte y distribucin.
Operacin.
Comercial.
Exploracin.
26/53

Primera Edicin
P.2.0610.02:2008
8.8.5 La infraestructura propuesta en la arquitectura debe garantizar la conectividad y comparticin de los

datos a los diferentes sistemas, aplicaciones y/o programas (software) que ayuden a maximizar los procesos
y reducir los costos y riesgos.
8.8.6
Contar con informacin en tiempo real, debe ayudar a la organizacin a:
Minimizar los costos operacionales, al contar con informacin en tiempo real permitir al personal
enfocarse en las actividades operativas y no administrativas, al estar reportando las mediciones de
algn instrumento, proceso, instalacin, entre otros.
Minimizar el riesgo, al contar con la informacin de forma oportuna, confiable y poder compartirla con
las diferentes entidades, debe permitir analizar la situacin actual los procesos y tomar decisiones en
tiempo.
Prevenir eventos, contar con informacin que permita tomar acciones de forma inmediata minimizando
los riesgos.
Tomar de decisiones, al contar con un panorama general de todo el proceso industrial que permita
mejorar la toma de decisiones ya que se puede analizar los impactos, los diferentes escenarios, entre
otros.
9.
Concordancia con normas internacionales
Esta especificacin tcnica no tiene concordancia con normas nacionales o internacionales al momento de
su elaboracin.
10.
Bibliografa
10.1
AGA 12. Task Group: Cryptographic protection of SCADA communications: General
recommendations, 2004. (Grupo de Trabajo: Proteccin Criptogrfica de Comunicaciones de SCADA:
Recomendaciones Generales, 2004).
10.2
API Standard 1164. Pipeline SCADA Security, American Petroleum Institute, Septiembre, 2004.
(Seguridad en SCADA de Ductos, Estndar API 1164, Instituto Americano del Petrleo).
10.3
BS ISO/IEC 17799:2000 BS 7799-1:2000. Information Technology Code for Practice for
Information Security Management. (Tecnologa de Informacin - Cdigo de Prcticas para Administracin de
Seguridad de la Informacin).
10.4
FIPS 46. Data Encryption Standard (DES), 1999 October 25. (Estndar para Encriptacin de
Datos 25 de octubre de 1999).
10.5
FIPS 140. Security Requirements for Cryptographic Modules 1994 January 11 (Requerimientos de
Seguridad para Mdulos Criptogrficos, 11 de enero de 1994).
10.6
1995).
FIPS 180. Secure Hash Standard (SHS), 1995 April 17 (Estndar de Hash Seguro, 17 de abril de
10.7
FIPS 186. Digital Signatura Standard (DSS), 1994 May 19 (Estndar de Firma Digital, 19 de mayo
de 1994).
27/53

Primera Edicin
P.2.0610.02:2008
10.8
FIPS 197. Advanced Encryption Standard (AES), November 26, 2001 (Estndar de Encriptacin
Avanzada, 26 de noviembre de 2001).
10.9
Industrial Network Security, ISA, Teumim, David J. 2005. (Seguridad en Red Inalmbrica, ISA).
10.10
ISA-TR99.00.01-2004. Security Technologies for Manufacturing and Control Systems. (Tecnologas
de Seguridad para Manufactura y Sistemas de Control).
10.11
ITU-T. Security in Telecommunications and Information Technology Version 2004 (Seguridad en
las Telecomunicaciones y Tecnologas de Informacin Versin 2004).
10.12
Lineamientos Particulares de Sistemas de Monitoreo y Control Electrnico en Instalaciones
de PEP. PEMEX-Exploracin y Produccin. Comunidad Profesional de Manejo, Distribucin y Ventas. 2002.
10.13
M. System Reliability Theory. Hoyland, A., Rausand, John Wiley and Sons, Inc. 1994 (M. Teora
de Sistemas de Confiabilidad).
10.14
NIST SP 800-30. Risk Management Guide for Information Technology Systems, Julio 2002.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf. (Gua de Administracin de Riesgo para
Sistemas de Tecnologa de la Informacin).
10.15
NIST SP 800-34. Contingency Planning Guide for Information Technology Systems, Junio 2002.
http://csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf (Gua de Planeacin de Contingencias para
Sistemas de Tecnologa de la Informacin).
10.16
NIST Special Publication 800-48. Wireless Network Security: 802.11, Bluetooth and Handheld
Devices. Noviembre, 2002. http://csrc.nist.gov/publications/nistpubs/800-48/NIST_SP_800-48.pdf (Seguridad
en Redes Inalmbricas: 802.11, Dispositivos Bluetooth y De Mano).
10.17
OPC Alarmas & Events Custom Interface Specification 1.0. (OPC Especificacin de Interfaz
Tradicional de Alarmas y Eventos 1.0) http://www.opcfoundation .org/DownloadFile .aspx?CM= 3&RI=
29&CN =KEY&CI=283&CU=25, octubre 2002.
10.18
OPC Data Access Custom Interface Specification 3.0. (OPC Especificacin de Interfaz
Tradicional de Acceso de Datos. 3.0) http://www.opcfoundation.org /DownloadFile .aspx/Data%20Access
/OPC%20DA % 203.00%20Specification.pdf?RI=67, marzo 2003.
10.19
OPC Data Exchange Specification 1.0. (OPC Especificacin de Intercambio de Datos 1.0)
http://www.opcfoundation.org/DownloadFile.aspx/Data%20eXchange/OPC%20DX%201.00%20Specification.
pdf?RI=77, marzo 2003.
10.20
OPC Historical Data Access Automation Interface Standard 1.0. (OPC Estndar de Interfaz
para Acceso de Datos Histricos de Automatizacin 1.0) http://www.opcfoundation .org/DownloadFile
.aspx?CM =3&RI =117 &CN=KEY&CI=283&CU=25, enero 2001.
10.21
P.2.0000.03. Manual de Especificaciones Automatizacin de Instalaciones de Proceso
Normatividad Tcnica, 2 Edicin de mayo de 2006.
10.22
P.2.0401.01. Simbologa de Equipo de Proceso.
10.23
P.2.0401.02. Simbologa e Identificacin de Instrumentos.
10.24
P.2.0602.02. Desplegados Grficos Dinmicos para el Sistema Digital de Monitoreo y Control
(SDMC).
10.25
Revista Intech Mxico. Octubre/Diciembre 2004. XML Pg. 24.
28/53
11.
11.1
Anexos (Normativos)
Arquitectura tecnolgica de la automatizacin integrada de PEP
29/53

Primera Edicin
P.2.0610.02:2008
11.2
Niveles de cobertura de la Pirmide de automatizacin, para la integracin y seguridad de
datos de procesos industriales.
11.3
Nomenclatura para la identificacin de variables en la base de datos de los servidores
integradores historiadores de PEP.
Con la finalidad de homogenizar y estandarizar los criterios para identificar los datos de procesos industriales
provenientes del instrumento, en los servidores integradores historiadores se debe identificar desde el tipo
de la variable hasta la Regin, como se indica en la siguiente tabla, y as evitar duplicidad en los TAGs de
stos; por lo que dicha nomenclatura se debe apegar a los siguientes campos:
Regin
Activo /
Gerencia
Campo /
yacimiento
Complejo /
Sector
Instalacin
Proceso
Equipo
esttico o
dinmico
Identificaci
n del
instrumento
Tipo de
variable
XXX
XXX
XXXX
XXX
XXXXXX99
XXXX
XXXXXX99
XXXXXXXX
XXX
XXXX
3
3
4
3
6
4
6
11
4
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos
(fijos)
(fijos)
(fijos)
(fijos).
(fijos) +2
(fijos)
(fijos) + 2
(mximo)
(mximo)
Numricos
Numricos
(opcional
(opcional
cuando existe
cuando existe
mas de una
mas de un
instalacin)
equipo)
Donde:
Identificacin. Es el identificador que se le asigna a la identificacin dentro del servidor integrador historiador,
el cual se emplea para organizar y ordenar los datos provenientes de los Sistemas Digitales de Monitoreo y
Control (SDMCs).
30/53

Primera Edicin
P.2.0610.02:2008
La identificacin se debe conformar de caracteres que identifican de manera ordenada la regin, activo o
gerencia, campo o yacimiento, complejo o sector, instalacin, proceso, equipo, identificacin y tipo de
variable, por lo que cada regin debe elaborar su propios catlogos para la asignacin de los TAGs
respetando de manera invariable la cantidad de caracteres para los campos regin, activo/gerencia,
campo/yacimiento, complejo/sector, instalacin, proceso y equipo (excepto por los dos caracteres numricos
marcados como opcionales, los cuales pueden omitirse en caso de ser instalacin o equipo nico), con
respecto al campo para la identificacin TAG se deben utilizar los primeros 11 caracteres como mximo y
para el campo del tipo de variable este se debe apegar a la especificacin tcnica P.2.0401.02, cada uno de
los campos se debe separar por puntos.
As mismo, los catlogos que se definan por las coordinaciones regionales para la designacin de las TAGs
deben remitirse al rea responsable de la plataforma de tiempo real para su revisin, aprobacin y registro,
antes de su implantacin.
Ejemplos:
Identificacin = SUR.TDH.AGD.AADSTU.ALBO.BA105R.LIC103APID1.PV (asignado a la identificacin
dentro del servidor integrador historiador)
Identificacin = SUR\TDH\AGD\AADSTU\ALBO\BA105R\LIC103APID1.PV (asignado a la identificacin
Identificacin = SUR_TDH_AGD_AADSTU_ALBO_BA105R_LIC103APID1.PV (asignado a la identificacin
O una combinacin de los anteriores.
Donde:
SUR
Regin Sur
GTDH
Gerencia de Transporte de Hidrocarburos
SAGD
Sector aguadulce
CAMPO
El campo o yacimiento no aplica para las GTDH
AADSTU
rea de almacenamiento domos salinos de Tuzandepetl
ALBO
Al proceso de almacenamiento de bombeo
BA105R
Identificador del equipo dinmico de proceso denominado bomba centrfuga
LIC103APID1
Identificador del instrumento indicador de presin, proveniente del SDMC
PV
Identificador de la variable de proceso
31/53

Primera Edicin
P.2.0610.02:2008
A continuacin se muestra una tabla con ejemplos para nombrar o identificar cada uno de los campos de la
identificacin:
Regin
Marina Noreste = MNE

Marina Suroeste = MSO
Norte = NTE
Sur = SUR
Activo o
gerencia
GTDH = TDH, Burgos = BUR, Samaria Luna = SLU, Muspac = MUS, Cinco Presidentes =
5PR, Macuspana = MAC, Cantarell = CAN, Litoral de Tabasco = LIT, Abkatun Pool Chuc
= APC, Bellota Jujo = BEJ, Perforacin Divisin Sur = DIS, entre otros.
Campo o
yacimiento
Akal=AKAL,
Bolontiku=BTKU,
Cann=
CANN,
Chuc=CHUF,
Balam=BLAM,
Mallob=MALOB, Jacinto=JACT, Tepeyim=TPYN, Bellota=BLLT, Chinchorro=CHCR,
Muspac=
MSPC,
Soledad=SLDA,
Tres
hermanos=3HRM,
Coyotes=CYTS,
Anahuac=ANHC, Agua fra=AFRI, Pandura= PAND
Complejo o
sector
Akal J = AKJ, Cardenas = CAR, Aguadulce = AGD, Reforma = REF, Comalcalco = COM,
Cd. PEMEX = CDP, entre otros.
Instalacin
Central de Almacenamiento y Bombeo Poza Rica = CABOPR, Estacin de Recoleccin

de Gas Cuitlahuac 2 = ERGASC02, rea de Almacenamiento en Domos Salinos
Tuzandepetl = AADSTU, Batera de Separacin Tecominoacn = BSTECO, Akal J
Produccin 1 = PBAKAJ01, Nohoch A Produccin 1 = PBNOHA01, Pol A Compresin =
COPOLA01, Abkatun A Enlace = ENABKA01, PERFORACIN AKAL DB = PPAKDB01,
entre otros.
Proceso
Almacenamiento y Bombeo = ALBO, Bombeo Mecnico = BMEC, Bombeo Neumtico =

BNEU, Separacin de Aceite = SACE, Separacin de Gas = SGAS, Endulzamiento =
ENDU, Compresin de Gas = CGAS, entre otros.
Equipo
(esttico o
dinmico)
Un equipo esttico se debe referir al equipo de proceso tal como; Tanque de

Almacenamiento, Separador, Torre de estabilizacin, entre otros. Un equipo Dinmico se
refiere a equipos rotatorio tal como; Motobombas, Motocompresores, Turbogeneradores,
Turbo bombas, entre otros. Identificado tpicamente por caracteres alfanumricos. Para
cada uno de los casos la nomenclatura se debe apegar a los DTIs de los AS-BUILT o a
las especificaciones tcnicas de PEMEX Nos. P.2.0401.01, P.2.041.02 y P.2.0602.02.
identificacin
de variable
Es el identificador del instrumento, que contiene tpicamente caracteres alfanumricos

provenientes del Sistema Digital de Monitoreo y Control, incorporado este al servidor
integrador historiador, para lo cual se debe ordenar de forma estandarizada apegada a
los DTIs de cmo qued construido AS BUILT o a las especificaciones tcnicas de
PEMEX Nos. P.2.0401.01, P.2.0401.02 y P.2.0602.02.
Tipo de
variable
Es un identificador adicional a la identificacin del instrumento que se refiere a si la

variable es de tipo Punto de Ajuste = SP, Variable de Proceso = PV, Seal de Salida =
OP, L, LL = Alarma de bajo o muy bajo, H, HH = Alarma de alto o muy alto, Modo de
Control (Automtico = AUTO, Manual = MAN, Cascada = CAS), Promedio Horario =
AVGH, Promedio Diario= AVGD, Promedio Mensual = AVGM, entre otros.
Los campos descripcin y unidades de ingeniera correspondientes a la identificacin, deben ser

configurados forzosamente para cada identificacin existente y/o creada, as como el rango mnimo-mximo
y el valor deseado.
32/53

Primera Edicin
P.2.0610.02:2008
Se puede contar con TAGs calculados o replicados, por lo que para su rpida identificacin se debe poner
en el nombre del TAG un prefijo como por ejemplo:
Tipo
11.4
Prefijo
Replicado
rep.
Suma
sum.
Promedio
avg.
Totalizado
tot.
Performance equation
pe.
Dividido entre 10
d10.
Dividido entre 100
d100.
Totalizados a las 5 am
t5am.
Totalizados a las X am
txam
Promedio a las 5 am
a5am.
Promedio a las 5 am
axam
Nomenclatura para la identificacin de servidores integradores historiadores de PEP
11.4.1 Asignacin del nombre para los servidores integradores-historiadores de PEP. Los nombres
de los servidores integradores historiadores para cada regin y zona, se deben asignar conforme a la
siguiente tabla:
Regin
Marina Noreste
Marina Suroeste
Sur
Norte - AIB
Norte - AIV
Norte - AIPRA
Zona Marina
PEPMARPI01
PEPMARPI02
Zona Sur
Zona Norte
PEPSURPI01
PEPNTEPI01
PEPNTEPI02
PEPNTEPI03
As mismo se deben enviar los datos del servidor al rea responsable de la plataforma de tiempo real como
se muestra en la siguiente tabla:
Servidor PI
Servidor RT Portal
Serie del equipo
Serie del equipo
No. Inmovilizado
No. Inmovilizado
Direccin Ip
Direccin Ip
Versin instalada
Versin instalada
Nombre del servidor
Nombre del servidor
Marca
Marca
Modelo
Modelo
Procesadores
Procesadores
Velocidad
Velocidad
RAM
RAM
Sistema Operativo
Sistema Operativo
Ubicacin
Ubicacin
URL del sitio principal
33/53

Primera Edicin
11.5
P.2.0610.02:2008
Intercambio de datos entre servidores integradores historiadores
Se debe preservar la seguridad y confidencialidad de la informacin, por lo que solo los dueos de la
informacin deben definir las reas que podrn visualizarla.
En caso de que las reas usuarias otorguen permisos hacia algn destinatario para que pueda visualizar o
incluso modificar algunos TAGs siempre y cuando se cumplan los siguientes puntos.
a)
b)
c)
El intercambio de informacin entre regiones debe ser pactado y acordado entre reas operativas y/o
sede.
El responsable y dueo de la informacin debe solicitar y autorizar de forma oficial al rea responsable
de la plataforma de tiempo real especificando los TAGs que podrn acceder, as como los privilegios y
quienes pueden visualizar la informacin.
El rea responsable de la plataforma de tiempo real debe dar los accesos e informar al rea
correspondiente.
11.6 Especificaciones tcnicas de la infraestructura de equipo de cmputo
H O J A D E E S P E C IF IC A C I N N o . 0 1
S E R V ID O R
N o m b re d e p ro ye c to :
R e a liz :
Fecha:
H o ja 1 d e 1
L o c a liz a c i n :
OPC
In te g ra d o r H is to ria d o r
W IT S M L
PRODML
In te g ra d o r A u x ilia r
W EB
A u te n tic a c io n
P ro x y
T ip o d e p ro c e s a d o r:
V e lo c id a d :
M e m o ria R A M :
R a n u ra s d e e x p a n s i n :
C a p a c id a d d e d is c o d u ro :
R e d u n d a n c ia e n d is c o d u ro :
M e m o ria R A M e n v id e o /m o n ito r:
S is te m a o p e ra tiv o :
C a n tid a d d e te c la d o s :
A rre g lo in te rn o d e d is c o s :
C D -R W
D V D -R W
P u e rto s e rie
N o . d e p u e rto s s e rie :
P u e rto p a ra le lo
N o . d e p u e rto s p a ra le lo :
P u e rto U S B
N o . d e p u e rto s U S B :
T ip o :
T a rje ta d e re d E th e rn e t
N o . d e ta rje ta s E th e rn e t:
V e lo c id a d :
V o lta je d e a lim e n ta c io n :
127 V C A
220 V C A
U n id a d d e a lm a c e n a m ie n to m a s iv o in te rn o
C a ra c te ris tic a s a d ic io n a le s :
N O T A : E S T A H O J A D E D A T O S T E C N IC O S D E B E S E R A U T O R IZ A D A P O R E L A R E A R E S P O N S A B L E D E L A P L A T A F O R M A D E T IE M P O R E A L D E P E P .
34/53

Primera Edicin
P.2.0610.02:2008
HOJA DE ESP ECIFICA CIN No . 2

DISP OSITIVOS DE SEGURIDA D INFORM TICA
No mbre de pro yecto :
Realiz :
Lo calizaci n:
Fecha:
Ho ja 1de 1
Dispo sitivo integrado de seguridad
co n IDS, IP S y Co rtafuego s
Co rta Fuego s
P ro cesado r:
M emo ria RA M :
M emo ria Flash
Capacidad:
P ro to co lo s de seguridad:
Rendimiento :
Interfaces de co nexi n:
Tipo s de pro teccio n:
Tipo de cifrado :
M eto do de A utenticacio n:
Vo ltaje de alimentaci n:
127 VCA
220 VCA
C a ra c t e ris t ic a s t e c nic a s a dic io na le s :
NOTA : ESTA HOJA DE DA TOS TECNICOS DEB E SER A UTORIZA DA P OR EL A REA RESP ONSA B LE DE LA P LA TA FORM A DE TIEM P O REA L DE
35/53

Primera Edicin
P.2.0610.02:2008
HOJA DE ESP ECIFICA CIN No . 3

DISP OSITIVOS DE COM UNICA CIN
No mbre de pro yecto :
Realiz :
Lo calizaci n:
Fecha:
Ho ja 1de 1
Co nmutado r de dato s(Switch LA N)
Enrutado r
P ro cesado r:
M emo ria RA M :
M emo ria Flash
Capacidad:
P ro to co lo s de co municaci n:
Rendimiento :
Interfaces de co nexi n:
P ro to co lo s de seguridad:
Cantidad de puerto s:
Tipo de puerto s:
Vo ltaje de alimentaci n:
127 VCA
220 VCA
C a ra c t e ris t ic a s t e c nic a s a dic io na le s :
NOTA : ESTA HOJA DE DA TOS TECNICOS DEB ERA SER A UTORIZA DO POR EL A REA RESP ONSA B LE DE LA P LA TA FORM A DE TIEM P O REA L
36/53

Primera Edicin
P.2.0610.02:2008
11.7
Tipos de sistemas digitales de monitoreo y control en las instalaciones industriales de PEP
I.
Sistemas de monitoreo
I.1
I.2
I.3
I.4
I.5
I.6
I.7
I.8
I.9
Sistemas de sensores de presin de fondo.

Sistemas de monitoreo de variables de perforacin.
Sistemas de monitoreo de variables operativas de aceite, gas y condensados.
Centros de respuesta y atencin de emergencias.
Sistemas centralizados de visualizacin y monitoreo de variables.
Sistemas centralizados para control de motores (CCMS).
Sistemas de monitoreo de fugas en ductos.
Sistemas de almacenamiento de hidrocarburos.
Sistemas de monitoreo y anlisis cromatogrficos de hidrocarburos en lnea.
II.
Sistemas de control
II.1
II.2
II.3
II.4
II.5
II.6
II.7
II.8
II.9
II.10
II.11
II.12
II.13
II.14
II.15
II.16
II.17
II.18
II.19
II.20
Sistema de control de motogeneradores y turbogeneradores.

Sistema de control de motocompresores y turbocompresores.
Sistema de control de motobombas y turbobombas.
Sistemas de control distribuido (SCD).
Sistemas de control y adquisicin de datos automatizado (SCADA).
Sistemas de control de estabilizacin de crudo.
Sistemas de control para mezclado de hidrocarburos.
Sistemas de control de deshidratacin de hidrocarburos.
Sistemas de control de bombeo neumtico.
Sistemas de control de bombeo mecnico.
Sistemas de control de bombeo electrocentrfugo.
Sistemas de control para el endulzamiento de gas amargo.
Sistemas de control para manejo y recuperacin de condensados slug catcher.
Sistemas de control para la separacin de hidrocarburos.
Sistemas centralizados de monitoreo y control remoto de procesos industriales.
Controladores lgicos programables (PLCs).
Sistemas de control hbridos.
Sistemas de control para aire de planta e instrumentos.
Sistemas de control para plantas desaladoras de hidrocarburos.
Sistemas de control de desfogues.
III.
Sistemas de seguridad
III.1
III.1.1
III.1.2
III.1.3
III.1.4
III.1.5
III.2
III.2.1
III.2.2
III.2.3
III.2.4
Sistemas de seguridad industrial.

Sistemas de deteccin y supresin de fuego.
Sistemas de deteccin de gas toxico.
Sistemas de deteccin de gas combustible.
Sistemas de alarmas.
Sistemas de paro por emergencia.
Sistemas de seguridad fsica.
Sistemas de circuito cerrado de televisin.
Sistemas de control de acceso.
Sistemas de videovigilancia.
Sistemas de proteccin perimetral.
IV.
Sistemas auxiliares
IV.1
Sistemas de medicin de aceite, gas y condensados.

37/53

Primera Edicin
P.2.0610.02:2008
IV.2
IV.3
IV.4
IV.5
IV.6
IV.7
IV.8
IV.9
IV.10
IV.11
IV.12
IV.13
IV.14
IV.15
IV.16
IV.17
IV.18
IV.19
IV.20
Sistemas de transferencia de custodia.

Sistemas de tratamiento de aguas negras.
Sistemas de tratamiento de aguas aceitosas.
Sistemas de tratamiento de aguas jabonosas.
Sistemas de tratamiento de aguas congnitas.
Sistemas de control de plantas potabilizadoras.
Sistemas de control de calidad de fludos.
Sistemas de intercomunicacin y voceo inteligentes.
Sistemas de entrenamiento a operadores basado en simuladores (otss).
Sistemas de anlisis y medicin de parmetros para laboratorios.
Sistemas de proteccin catdica.
Sistemas de monitoreo y control de la corrosin.
Sistemas de inyeccin de qumicos (inhibidores, antiespumantes, entre otros).
Sistemas de rastreo y monitoreo de vehculos.
Sistemas de refrigeracin y enfriamiento.
Sistemas de calentamiento y/o transferencia de calor (aceite, entre otros).
Sistemas de fuerza ininterrumpible (SFI UPS).
Sistemas de monitoreo y control de trfico marino y terrestre.
Sistemas de muestreo de hidrocarburos.
11.8
Seguridad de la red industrial
11.8.1
Introduccin
11.8.1.1 Se debe presentar la mejor opcin en la salvaguarda de la informacin e infraestructura en los

sistemas automatizados en cada uno de los diferentes procesos de PEP, minimizando los riesgos en la
integracin de datos del proceso hacia las reas de evaluacin y toma de decisiones.
11.8.1.2 En esta especificacin tcnica se presentan algunas arquitecturas que se deben implementar en
las redes industriales, con diferentes tecnologas en la prevencin y deteccin de posibles ataques mediante
las comunicaciones, es importante sealar que a medida de que avancen las tecnologas de informacin y
comunicaciones, se debe contar con el mejor esquema de comunicacin, seguridad y flexibilidad en la
extraccin de datos del proceso.
11.8.2
La seguridad, contexto general
11.8.2.1 La seguridad debe estar orientada a la proteccin de los bienes contra amenazas, donde las
amenazas deben ser categorizadas por el abuso potencial en contra de los bienes protegidos. Todas las
categoras se deben considerar; pero en el mbito de la seguridad, se debe dar mayor atencin a las
amenazas relacionadas con actividades maliciosas u otras actividades humanas. La figura 1 ilustra este
concepto en un alto nivel y su relacin entre los elementos que nos permiten trabajar en la seguridad.
38/53

Primera Edicin
P.2.0610.02:2008
Figura 1. Contexto general de la seguridad en un alto nivel y su relacin entre los elementos que
permiten trabajar con seguridad
11.8.2.2 Conforme lo muestra la figura 1, se debe vigilar y hacer mejoras en los esquemas de seguridad
que se implementen en las instalaciones industriales, siempre cumpliendo con las normas y estndares
requeridos por PEP para la integracin y seguridad de los datos de procesos.
11.8.2.3 Y para ello inicialmente se deben reconocer las vulnerabilidades de un sistema de monitoreo y
control, analizar y mitigar los riesgos asociados con ellas. Por lo anterior, se deben tomar en cuenta los
siguientes requerimientos:
Los sistemas SCADA no deben causar desastres.

Se debe manejar informacin con amplias escalas de tiempo, ya que el activo fijo es de larga vida y es
en PEP donde se utilizan los datos en un periodo mas largo.
Se debe cumplir con las referencias o estndares de seguridad para SCADAs.
El proveedor o contratista debe contar con experiencia en desarrollos y evaluaciones de seguridad para
sistemas SCADA.
11.8.2.4 La mayora de los sistemas SCADA mantienen su seguridad al estar aislados de cualquier otra red.
Es por ello que la seguridad de estos sistemas se debe basar en normas y arquitecturas que cumplan con
los siguientes requisitos:
Conectividad en las redes de datos.

Servicios de TI en las instalaciones industriales.
Mejorar las arquitecturas de comunicaciones a las reas operativas en conjunto con la Gerencia de
Ingeniera de Telecomunicaciones.
11.8.2.5 Seguridad en la conectividad de la red de datos en las instalaciones industriales. Se debe

trabajar en la integracin de la informacin que se obtiene en cada sistema, llevndola hasta las reas de
toma de decisin y de operaciones ejecutivas, por lo que se deben disear esquemas de redes seguras para
la extraccin de los datos de proceso ya que las redes del SCADA y SDMC no deben ser independientes,
39/53

Primera Edicin
P.2.0610.02:2008
convergiendo en algn punto con el mundo exterior, hacia las redes de datos conectadas a la Internet y por
lo tanto con un ndice alto de ataques de virus e intrusos hackers.
11.8.2.6 Para analizar la red que vamos a proteger se deben conocer los siguientes trminos:
Red de Instrumentacin.
Red de Control.
Red Industrial.
Red Administrativa.
a)
Red de instrumentacin.- Red de instrumentos o dispositivos, la cual debe permitir interconectar entre
si: sensores, interfaces de operador, dispositivos drivers, arrancadores suaves, entre otros, para ser
controlados por el SDMC, y debe cumplir con los protocolos de comunicacin que se indican en la NRF046-PEMEX-2003, entre otros que PEP apruebe.
Red de control. Red de comunicaciones que permite un control permanente de todos los dispositivos
conectados a ella y debe cumplir con los protocolos de comunicacin que se indican en la NRF-046PEMEX-2003, entre otros que PEP apruebe. Esto significa que cada uno de los dispositivos conectados
a la red de control, deben estar controlados por al menos, un dispositivo de supervisin.
Red industrial. Red Ethernet en donde se tienen conectados solo dispositivos propios del SDMC, como
son las Interfaces Humano Mquina (IHM), servidores historiadores e impresoras de uso especfico
reporteadores, y debe cumplir con los protocolos de comunicacin que se indican en la NRF-046PEMEX-2003, entre otros que PEP apruebe.
Red administrativa. Red en donde TI debe contar con todas las fortalezas de servicio y la interaccin
con usuarios dedicados a procesos administrativos y al manejo de informacin operativa ya extrada del
rea industrial.
b)
c)
d)
11.8.2.7 En la figura 2 se ilustran la clasificacin de redes que se han creado para establecer estrategias de
servicios y arquitecturas:
Figura 2. Clasificacin de redes

11.8.3
Conectividad entre la red industrial y la administrativa
Se deben seguir las siguientes reglas para conectar una red industrial con la administrativa:
1)
Se debe contar con una segmentacin fsica de la red administrativa con la red de datos industrial.
40/53

Primera Edicin
2)
3)
P.2.0610.02:2008
Esta segmentacin debe estar resguardada con un equipo que su nica funcin sea la de seguridad.
Se debe establecer una separacin del trfico en la WAN mediante VPNs si es capa 3 y/o PVCs si es
en capa 2, de acuerdo a la tecnologa de telecomunicaciones
11.8.4
Segmentacin de redes
Debe existir una red cableada de datos nica y exclusivamente para el SCADA o para los Sistemas Digitales
de Monitoreo y Control (SDMC), redundante y separada e independiente (fsica y lgicamente) de la red
administrativa (figura 4) o de cualquier equipo que sea de uso general y que se encuentre dentro del cuarto
de control (figura 5) respetando en todo momento, los requerimientos especificados en la NRF-022-PEMEX2008.
Figura 4. Redes separadas sin conexin entre ellas
41/53

Primera Edicin
P.2.0610.02:2008
Figura 5. Cuarto de control con equipos de uso general (Office, correo, intranet, internet, entre otros)
11.8.4.1 Cuando se tenga este tipo de esquemas, se debe conectar en diferentes equipos de
comunicaciones las estaciones de trabajo (IHM) y los equipos de uso general. De no contar con un equipo
adicional y que la instalacin no sea de alto riesgo, se debe de considerar lo siguiente:
a)
b)
Crear VLAN para cada segmento

Tener ampliamente identificado los equipos de uso general y monitorearlos constantemente, vigilando
que tengan las ltimas actualizaciones del sistema operativo, paquetera y antivirus.
11.8.4.2 Es muy importante no manejar servicios comunes (Paquetera de office no requerida, correo,
intranet, internet, USB o CD/DVD si no es necesario, entre otros.) en las IHM. Se debe considerar, al
momento de hacer requisiciones, equipos de uso general para el personal operativo de las instalaciones
industriales.
11.8.5
Conectando las redes
11.8.5.1 Para el caso de los SDMC y de los SIS los datos del proceso se deben concentrar en un servidor
historiador o en una IHM (con funciones de historizacin), siendo estos los nicos elementos que
establezcan comunicacin entre la red de control y la red industrial, para su posterior envi de los datos de
proceso hacia la red administrativa, ver figura 6.
42/53

Primera Edicin
P.2.0610.02:2008
Figura 6. Conectividad con un equipo de seguridad

11.8.6
Direccionamiento IP sobre la red industrial de PEP para acceder al nivel supervisin
11.8.6.1 Cuando se ponga en operacin un SCADA o SDMC el fabricante debe manejar un

direccionamiento de red diferente al de una red administrativa (ejemplo: 10.x.x.x, o 20.x.x.x), por lo que se
debe contar con un direccionamiento IP industrial:
Regin
Inicia
Termina
Marina Suroeste
10.190.0.0
10.194.255.255
Marina Noreste
10.195.0.0
10.199.255.255
10.181.0.0
10.184.255.255
10.171.0.0*
10.171.255.255*
10.121.0.0
10.124.255.255
Sur
Norte
*(Zona Istmo) Se deben manejar dos segmentos para la Regin Sur derivado de las
ubicaciones por zonas en las que est distribuida la infraestructura de GIT
11.8.6.2 El detalle del direccionamiento IP para cada instalacin debe estar estructurado de acuerdo a los
nodos de comunicaciones y a los sistemas del proceso, figura 8.
43/53

Primera Edicin
P.2.0610.02:2008
Figura 8. Distribucin de direccionamiento IP

11.8.6.3 Cabe sealar que cada sistema debe de contar con una red separada fsicamente.
11.8.7
Equipos de seguridad para las redes
11.8.7.1 Para mantener la seguridad y mitigar amenazas al momento de conectar la red industrial con la
administrativa para la extraccin de los datos del proceso, se debe de contar con un sistema de deteccin y
proteccin que permita la prevencin de intrusiones y actu como un cortafuegos, siendo estas las nicas
funciones del equipo, adems de:
a)
b)
c)
Proveer un amplio rango del permetro de la red con servicios de seguridad para no permitir accesos no
autorizados, filtracin de contenido, trfico malicioso, virus, gusanos, spam.
Debe tener la capacidad y flexibilidad de controlar el acceso de aplicaciones, servicios y protocolos
definidos por el usuario.
Integrar mtodos de inspeccin que proveen aplicaciones para los servicios de seguridad y control de
protocolos tales como: Hypertext transfer Protocol (http), Hipertext Markup Languaje (HTML),File
Transfer Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System
(DNS), Simple Network Management Protocol (SNMP), Internet Control Message Protocol (ICMP),
SQL*Net, Network File System (NFS), H.323 Versiones 1-4, Session Inicial Protocol (SIP), Cisco Skinny
Client Control Protocol (SCCP), Real-Time Streaming Protocol (RTSP), GPRS Tunneling Protocol
(GTP), Internet Locator Services (ILS), Sun Remote Procedure Call (RPC) y otros.
11.8.7.2 Cabe sealar que no se debe utilizar una sola marca en equipos de comunicacin y seguridad, ni
modelos que hayan salido recientemente al mercado. Esto es, si existe ms de un sistema en una zona se
debe de alternar modelos y marcas ya que si existe una falla se replica en toda la zona ocasionando la
perdida de la informacin o algo mas critico, la posibilidad de perder el control en la instalacin.
11.8.7.3 El equipo solo debe permitir el acceso a:
o
o
o
Servidor PI de manera bidireccional (Puerto 5450)

PI Regin Norte
PI Regin Sur
PI Regiones Marinas
Servidor de monitoreo
SNMP, ICMP, Puerto 139 Performance Monitor
Servidor de antivirus
44/53

Primera Edicin
P.2.0610.02:2008
Servidor de actualizaciones
11.8.7.4 Siendo estas direcciones IPs y puertos los que se tendrn que vigilar, por lo que se deben tener
pantallas donde se deben monitorear estos equipos; as mismo, se deben configurar alarmas de incidentes,
y crear reportes cada 15 das (los cuales se deben establecer por personal responsable del rea de control y
automatizacin o rea equivalente) para el seguimiento de la operacin de estos equipos.
11.8.7.5 Se deben tener publicados todos los programas de mantenimiento a estos equipos y a la red de
datos industrial y se deben tener que informar al rea operativa con 3 das de anticipacin, recordndoles
durante los siguientes das, mediante avisos electrnicos.
11.8.7.6 Los siguientes son los esquemas que se deben manejar para la conectividad entre las redes
utilizando equipos de seguridad:
Figura 9. Diagrama tpico de conexin entre redes
45/53

Primera Edicin
P.2.0610.02:2008
Figura 10. Diagrama de conexin de equipos de proceso y de uso general en el mismo cuarto de
control
11.8.7.7 Soluciones tecnolgicas. El proveedor o contratista debe implementar una de las siguientes
soluciones tecnolgicas de seguridad hacia la red industrial para instalar los equipos de red, que cumplan
con su funcin como se solicita en la presente especificacin tcnica:
a)
a.1)
Solucin A
Debe aplicar un filtro para red transparente, en lnea, encargado de bloquear ataques al tiempo que
permite el flujo ininterrumpido de trfico legtimo.
46/53

Primera Edicin
P.2.0610.02:2008
a.2)
Funcionalidades que debe cumplir el equipo:

Proteccin con base en las vulnerabilidades
Tcnicas para identificar, analizar y bloquear amenazas
Anlisis completo de protocolos de comunicacin
Programacin de polticas
Monitoreo y reportes va Web o cliente
b)
b.1)
Solucin B
Debe permitir mostrar las capacidades de deteccin / bloqueo mediante la tecnologa de respuesta
activa y que cumpla con los requerimientos de:
Detectar ataques conocidos y no conocidos.
Operar sin firmas.
Instalacin y operacin sencilla.
No debe ser un punto de falla en la red.
No debe generar latencia en el trfico real.
o
o
o
o
o
b.2)
c)
c.1)

Detectar la actividad maliciosa en forma puntual y sencilla
Detectar por direccin IP y puerto a travs del cual se genera la actividad.
Detectar si la actividad maliciosa se genera dentro del rango / segmento que se est monitoreando,
mediante el modulo de control de acceso a la red (NAC).
Generar polticas sin la necesidad de generar una accin hacia un Host.
El portal web debe mostrar las direcciones IP/MAC e informacin relacionada con las mismas.
Solucin C
Debe operar en la red totalmente en lnea, para bloquear el trfico malicioso o indeseable y proteger
al trfico legtimo. Debe optimizar el rendimiento de red limpindola de ataques, amenazas y
asignando prioridades a las aplicaciones de misin crtica.
47/53

Primera Edicin
c.2)
d)
d.1)
d.2)
P.2.0610.02:2008

Manejar filtros para prevenir los ataques sobre vulnerabilidades.
Contar con servicio de vacuna digital.
Manejar el ancho de banda (para detener la aparicin de aplicaciones parsitas (rogue) del tipo
persona a persona (Peer to Peer) o de mensajera instantnea o que stas fluyan libremente a travs
de la red)
Proteger contra los ataques distribuidos de negacin de servicio (DDoS)
Solucin D
El servidor de seguridad y aceleracin debe ofrecer proteccin avanzada, facilidad de uso y acceso
rpido y seguro para todo tipo de redes. Este equipo debe contener un servidor de seguridad del nivel
de aplicacin, el cual debe formar un permetro de seguridad (cortafuegos) entre los equipos de
cmputo en las redes industriales y administrativas y generar reglas que permitan la comunicacin
necesaria.
Se deben realizar reportes y graficas para llevar el control y monitoreo de los equipos de
comunicaciones, las cuales deben de estar disponibles para su anlisis.
48/53

Primera Edicin
P.2.0610.02:2008
11.8.8 Acceso a la informacin de tiempo real por parte de proveedores o contratistas prestadoras
de servicios
PEP debe contar con una solucin de manejo de identidad para otorgar el acceso a todos los prestadores de
servicio y que cuenten con un contrato vigente y con ello se tenga un estricto seguimiento en la red de datos.
11.8.9
Acceso al portal de tiempo real de PEP
En tanto se implementa la solucin de manejo de identidad, se deben seguir los siguientes requisitos para la
conectividad y acceso a la informacin de tiempo real:
49/53

Primera Edicin
P.2.0610.02:2008
1.
Se debe solicitar a PEP la creacin de una cuenta VPN, quien autorizar su creacin, conforme al
formato del anexo 11.9 de esta especificacin tcnica.
2.
Personal autorizado de PEP debe crear una cuenta en el directorio activo, capturando la siguiente
informacin:
Nombre del usuario del proveedor o contratista.
Direccin del usuario del proveedor o contratista.
50/53

Primera Edicin
P.2.0610.02:2008
El usuario no puede cambiar el password y la

fecha es la de trmino del contrato del
proveedor o contratista con PEP.
Anotar los telfonos del usuario del proveedor o

contratista.
Responsable o responsables por parte de PEP.
Grupo del Data Access al que debe pertenecer la

cuenta.
3.
Personal de PEP debe crear un grupo o unidad organizacional en el directorio activo para agrupar a
los usuarios y aplicar las polticas de tecnologa de informacin.
Nomenclatura de Grupo GS-Region-Activo-AI Compaias

Ejemplo: GS-RN-AIB-AI Compaias
GS-RN-AI Compaias
Nombre de UO: AI Compaias
51/53

Primera Edicin
4.
5.
6.
7.
8.
P.2.0610.02:2008
Personal responsable de PEP debe crear un sitio el cual debe ser el nico lugar donde pueda navegar
el proveedor o contratista, as mismo deben determinar la normativa del nombre del sitio y sus
polticas.
El equipo debe estar identificado (Nombre, direccin IP).
Los equipos de cmputo del proveedor o contratista deben contar con las ltimas actualizaciones del
sistema operativo, as como de antivirus.
Los usuarios de proveedor o contratista se deben sujetar a las reglas del buen uso de la
infraestructura informtica de PEP.
Personal responsable de PEP debe de generar los reportes mensuales de acceso a la informacin, a
la red y a los servidores de PEP, por parte de los proveedores o contratistas de servicio.
Cuando se tenga el esquema de extender la red de PEP hacia los edificios de los proveedores o contratistas
o inclusive si estos estn dentro de las instalaciones de PEP, se debe cumplir con los siguientes requisitos:
a)
b)
c)
La cuenta de usuario debe pertenecer al directorio activo de PEP.

El equipo del proveedor o contratista debe de estar en el directorio activo de PEP.
El equipo del proveedor o contratista debe de tener una IP fija.
11.8.10 Acceso a la red industrial

Para dar seguridad al acceso hacia el rea industrial se debe manejar la siguiente conectividad:
1)
2)
3)
4)
5)
Se debe solicitar a PEP la creacin de una cuenta VPN, quien autorizar su creacin, conforme al
formato del anexo 11.9 de esta especificacin tcnica.
Al crear la cuenta VPN, esta debe asignar una direccin IP vlida en la red de PEP.
La IP asignada a la cuenta VPN debe ser esttica.
Esta IP debe ser la nica que se configure para tener acceso por el equipo de seguridad
(cortafuegos) de la red Industrial y se debe proceder a permitir la conexin hacia el dispositivo dentro
del rea de proceso.
Los siguientes requisitos, se deben aplicar para el caso de que se tenga el esquema de extender la
red de PEP hacia los edificios de los proveedores o contratistas o inclusive si estos estn dentro de
las instalaciones de PEP.
El equipo debe estar identificado (Nombre, direccin IP).
El equipo de cmputo debe contar con las ltimas actualizaciones del sistema operativo, as como del
antivirus, informacin que se debe entregar al solicitar el acceso a la red de PEP.
52/53

Primera Edicin
11.9
P.2.0610.02:2008
Los usuarios de proveedores o contratistas se deben sujetar a las reglas del buen uso de la
infraestructura informtica de PEP.
PEP, mediante el personal del rea de control y automatizacin y de TI, puede solicitar una revisin
del equipo de los proveedores o contratistas en cualquier momento.
Personal responsable de PEP debe de generar los reportes mensuales de acceso a la informacin, a
la red y a los servidores de PEP, por parte de los proveedores o contratistas de servicio.
Formato para solicitud de cuentas VPN
11.9.1 Solicitud de cuenta de VPN para acceso remoto a la red de PEP

Se deben cumplir las siguientes instrucciones:
Debe cumplir con lo estipulado en la pgina de intranet de la Gerencia de Ingeniera de Telecomunicaciones
(http://www.git.pemex.com/index.cfm?action=content&sectionID=5&catID=159 )
53/53

P 2 0610 02 Integracion y Seguridad de Datos de Procesos Industriales

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

P 2 0610 02 Integracion y Seguridad de Datos de Procesos Industriales

Загружено:

Авторское право:

Доступные форматы

SUBDIRECCIN DE DISTRIBUCIN Y COMERCIALIZACIN

ESPECIFICACIONES TCNICAS PARA PROYECTO DE OBRAS

INTEGRACIN Y SEGURIDAD DE DATOS DE

(INTEGRATION AND SECURITY OF DATA PROCESSING

INTEGRACIN Y SEGURIDAD DE DATOS DE

Subdireccin Regin Sur

Subdireccin Regin Marina Noreste

Subdireccin Regin Marina Suroeste

Subdireccin de Ingeniera y Desarrollo de Obras Estratgicas

Subdireccin de la Coordinacin de Servicios Marinos

Subdireccin de Coordinacin Tcnica de Exploracin

Subdireccin de Seguridad Industrial, Proteccin Ambiental y Calidad

Subdireccin de Distribucin y Comercializacin

INTEGRACIN Y SEGURIDAD DE DATOS DE

Smbolos y Abreviaturas ..........................................................................................................

Integracin y Seguridad de Datos de Procesos Industriales (ISDPI) ......................................

Arquitectura del ISDPI..............................................................................................................

Niveles de la arquitectura para la ISDPI ..................................................................................

Soluciones y esquemas tecnolgicos para la seguridad de datos de TR de la arquitectura

Categorizacin de instalaciones ..............................................................................................

Integracin y seguridad de datos en el nivel de Proceso ........................................................

Integracin de datos en el nivel de Proceso ............................................................................

Seguridad de datos en el nivel de Proceso .............................................................................

Especificaciones tcnicas en el nivel de Proceso ...................................................................

Protocolos de comunicacin en el nivel de Proceso ...............................................................

Integracin y seguridad de datos en el nivel de Estacin........................................................

Integracin de datos en el nivel de Estacin ...........................................................................

INTEGRACIN Y SEGURIDAD DE DATOS DE

Seguridad de datos en el nivel de Estacin.............................................................................

Especificaciones tcnicas en el nivel de Estacin...................................................................

Protocolos de comunicacin en el nivel de Estacin...............................................................

Integracin y seguridad de datos en el nivel de Supervisin...................................................

Integracin de datos en el nivel de Supervisin ......................................................................

Seguridad de datos en el nivel de Supervisin........................................................................

Especificaciones tcnicas en el nivel de Supervisin..............................................................

Protocolos de comunicacin en el nivel de Supervisin..........................................................

Integracin y seguridad de datos en el nivel de Evaluacin y planeacin ..............................

Integracin de datos en el nivel de Evaluacin y planeacin ..................................................

Seguridad de datos en el nivel de Evaluacin y planeacin....................................................

Especificaciones tcnicas en el nivel de Evaluacin y planeacin..........................................

Protocolos de comunicacin en el nivel Evaluacin y planeacin...........................................

Integracin y seguridad de datos en el nivel de Toma de decisiones .....................................

Integracin de datos en el nivel de Toma de decisiones.........................................................

Seguridad de datos en el nivel de Toma de decisiones ..........................................................

Especificaciones tcnicas en el nivel de Toma de decisiones ................................................

Protocolos de comunicacin en el nivel de Toma de decisiones ............................................

Manejo de informacin en Tiempo real....................................................................................

Concordancia con normas internacionales ......................................................................

11.1 Arquitectura tecnolgica de la automatizacin integrada de PEP.................................

11.2 Niveles de cobertura de la Pirmide de automatizacin para la integracin y

INTEGRACIN Y SEGURIDAD DE DATOS DE

11.3 Nomenclatura para la identificacin de variables en la base de datos de los

11.4 Nomenclatura para la identificacin de servidores integradores historiadores de

11.5 Intercambio de datos entre servidores integradores historiadores ...............................

11.6 Especificaciones tcnicas de la infraestructura de equipo de cmputo ........................

11.7 Tipos de sistema digitales de monitoreo y control en las instalaciones industriales de

11.8 Seguridad de la red industrial ........................................................................................

11.9 Formato para solicitud de cuentas VPN ........................................................................

INTEGRACIN Y SEGURIDAD DE DATOS DE

INTEGRACIN Y SEGURIDAD DE DATOS DE

Esta especificacin tcnica es de aplicacin general y observancia obligatoria en la adquisicin, contratacin

NOM-008-SCFI-2002. Sistema general de unidades de medida.

NRF-022-PEMEX-2008. Redes de cableado estructurado de telecomunicaciones para edificios

NRF-046-PEMEX-2003. Protocolos de comunicacin en sistemas digitales de monitoreo y control.