Академический Документы
Профессиональный Документы
Культура Документы
REPRESENTACIN DE LA GAM
P.2.0610.02
PRIMERA EDICIN
OCTUBRE, 2008
1/53
P.2.0610.02:2008
PREFACIO
PEMEX-Exploracin y Produccin (PEP) en cumplimiento de la Ley Federal sobre Metrologa y
Normalizacin y acorde con la facultad que le confieren la Ley de Adquisiciones, Arrendamientos y Servicios
del Sector Pblico y la Ley de Obras Pblicas y Servicios Relacionados con las mismas, para que emita sus
normas y especificaciones tcnicas, edita la presente especificacin tcnica a fin de que se utilice en la,
contratacin de los servicios de integracin y seguridad de datos de los procesos industriales.
En la elaboracin de esta especificacin participaron:
Subdireccin de la Unidad de Perforacin y Mantenimiento de Pozos
Subdireccin Regin Norte
2/53
P.2.0610.02:2008
NDICE
Pgina
0.
Introduccin..............................................................................................................................
1.
Objetivo ....................................................................................................................................
2.
Alcance.....................................................................................................................................
3.
Campo de aplicacin................................................................................................................
4.
Actualizacin ............................................................................................................................
5.
Referencias ..............................................................................................................................
6.
Definiciones..............................................................................................................................
7.
10
8.
Desarrollo .................................................................................................................................
12
8.1
Generalidades..........................................................................................................................
12
8.2
12
8.2.1
13
8.2.2
13
8.2.3
13
8.2.4
15
8.3
16
8.3.1
16
8.3.2
16
8.3.3
16
8.3.4
17
8.4
17
8.4.1
17
3/53
P.2.0610.02:2008
NDICE
Pgina
8.4.2
18
8.4.3
19
8.4.4
19
8.5
20
8.5.1
20
8.5.2
21
8.5.3
22
8.5.4
22
8.6
22
8.6.1
23
8.6.2
25
8.6.3
25
8.6.4
25
8.7
25
8.7.1
25
8.7.2
26
8.7.3
26
8.7.4
26
8.8
26
9.
27
10.
Bibliografa ...............................................................................................................................
27
11.
Anexos (Normativos)................................................................................................................
29
29
30
4/53
P.2.0610.02:2008
NDICE
Pgina
30
33
34
34
37
38
53
5/53
0.
P.2.0610.02:2008
Introduccin
Dentro de las principales actividades que se llevan a cabo en PEP, se encuentran la extraccin, recoleccin,
procesamiento primario, almacenamiento, medicin, distribucin y transporte de hidrocarburos, actividades
que requieren del diseo, construccin, arranque, operacin, mantenimiento de instalaciones, as como de la
adquisicin de materiales y equipos requeridos para cumplir con eficiencia y eficacia los objetivos de la
empresa.
La automatizacin de los procesos industriales de PEP, se ha llevado a cabo mediante la instalacin de
Sistemas Digitales de Monitoreo y Control SDMC con el objetivo de monitorear y controlar en tiempo real
aquellos procesos rutinarios, riesgosos y complicados. PEP identific que la integracin de los datos que se
generan en estas instalaciones, plantas o procesos le agregan valor al negocio y es fundamental en la toma
de decisiones.
Como consecuencia, PEP desarrollo una estrategia para la Integracin de Sistemas de Automatizacin
Industrial, donde uno de sus objetivos es la integracin y la seguridad de los datos de procesos industriales.
Para la integracin y seguridad de los datos de proceso generados en las instalaciones de produccin,
refinacin, petroqumica bsica, transporte, distribucin y almacenamiento de hidrocarburos se les debe
transferir en tiempo real, proporcionndoles disponibilidad y confiabilidad, y llevar a cabo su distribucin en
lnea, con la finalidad de suministrar informacin de Tiempo Real, hacia los sistemas de integracin y/o de
anlisis localizados en las reas operativas y hacia los sistemas de informacin empresariales de PEP, para
el mejor control y administracin de las operaciones de las instalaciones; as como para la planeacin y toma
de decisiones del negocio.
Para lograr lo anterior, se debe contar con una normatividad actualizada acorde con las exigencias de los
trabajos a desarrollar y que cumpla con los requerimientos de integracin y seguridad de los datos para
contar con instalaciones eficientes y seguras.
Con el objeto de unificar criterios, aprovechar las experiencias dispersas y conjuntar resultados de las
investigaciones en normatividad nacional e internacional, PEP emite este documento tcnico para su
aplicacin en el diseo, adquisicin, construccin y operacin de bienes o servicios, para la
Integracin y Seguridad de Datos de Procesos Industriales de las instalaciones existentes y futuras de
PEP.
1.
Objetivo
Establecer los requisitos tcnicos y documentales que deben cumplir los proveedores y contratistas en la
ejecucin de los servicios de integracin y seguridad de datos de procesos industriales que se obtienen de
las instalaciones automatizadas de PEMEX-Exploracin y Produccin.
2.
Alcance
Esta especificacin tcnica cubre los requisitos tcnicos que se deben cumplir en la contratacin de los
servicios de diseo, especificacin, adquisicin, instalacin y pruebas de la integracin de sistemas digitales
de automatizacin industrial, basados en la integracin y seguridad de datos de los procesos industriales de
las instalaciones automatizadas existentes y futuras de PEP, consideradas en la Estrategia de
Automatizacin Integrada de PEP y comprende los siguientes niveles de la pirmide de automatizacin:
6/53
3.
P.2.0610.02:2008
Proceso (Instrumentacin)
Estacin (Controlador)
Supervisin (Monitoreo y acciones de control)
Evaluacin y planeacin
Toma de decisiones
Campo de aplicacin
4.
Actualizacin
A las personas e instituciones que hagan uso de este documento normativo tcnico, se solicita
comuniquen por escrito las observaciones que estimen pertinentes, dirigiendo su correspondencia a:
PEMEX-Exploracin y Produccin.
Subcomit Tcnico de Normalizacin
Baha de Ballenas 5, Edificio D, PB., entrada por Baha del Espritu Santo s/n
Col. Vernica Anzures, Mxico D. F., C. P. 11 300
Telfono directo: 1944-9286
Conmutador: 1944-2500 extensin 80-80, Fax: 3-26-54
Correo electrnico: lortizh@pep.pemex.com
5.
Referencias
5.1
5.2
5.3
5.4
5.5
7/53
6.
P.2.0610.02:2008
Definiciones
8/53
P.2.0610.02:2008
9/53
P.2.0610.02:2008
6.27
Rplica de datos. Se refiere a la distribucin de copias idnticas de datos crticos, de un servidor
hacia otros, de forma que las peticiones .de acceso a esos datos pueden distribuirse entre los diferentes
servidores que mantengan la rplica
6.28
Respaldo. Procedimiento empleado para la restauracin de datos en caso de falla o desastre. Los
datos se copian generalmente a un medio de almacenaje externo desprendible, que normalmente estn lejos
del sistema principal para su conservacin.
6.29
Seguridad en la comunicacin. Permite asegurar que la informacin fluya solo entre los puntos
autorizados (la informacin no debe ser desviada o interceptada entre estos puntos).
6.30
Servidor integrador historiador. Equipo de cmputo que tiene las caractersticas tcnicas
requeridas paras soportar la integracin de datos y la historizacin de los mismos as como soportar los
programas de los diferentes niveles de integracin.
6.31
Virus. Programa de cmputo el cual es capaz de propagarse a s mismo modificando otros
programas para incluir una copia posiblemente cambiada de s mismo y que es ejecutado cuando el
programa infectado es invocado.
6.32
Vulnerabilidad. Una debilidad o error en el diseo, implementacin operacin y administracin de
un sistema que puede ser explotada para violar la integridad del sistema o las polticas de seguridad.
6.33
Zona Desmilitarizada. Una DMZ (del ingls Demilitarized Zone) o Zona Desmilitarizada es una red
local (una subred) que se ubica entre la red interna de una organizacin y una red externa. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que
las conexiones desde la DMZ slo se permitan a la red externa, los equipos en la DMZ no se pueden
conectar con la red interna.
7.
Smbolos y abreviaturas
7.1
CDTI
7.2
COM
7.3
DCOM
7.4
DDE
7.5
DMZ
7.6
DNS
7.7
ERP
7.8
EVDO
7.9
GIS
10/53
P.2.0610.02:2008
7.10
GSM/GPRS Global System Movil/General Package Radio Service (Comunicaciones mviles para
sistemas globales / servicio de radio empaquetado general).
7.11
HTML
7.12
http
7.13
IHM
7.14
ISDPI
7.15
KPI
7.16
LAN
7.17
MAN
7.18
OLE
7.19
OPC
Ole for Process Control (Objetos vinculados e insertados para el control de procesos)
7.20
PEP
PEMEX-Exploracin y Produccin.
7.21
PLC
7.22
PRODML
7.23
RAM
7.24
RDBMS
7.25
RTPM
7.26
SCADA
7.27
SCD
7.28
SDMC
7.29
SIS
7.30
TAG
7.31
TCP/IP
7.32
TI
Tecnologa de Informacin.
7.33
TR
Tiempo real.
11/53
P.2.0610.02:2008
7.34
UHF
7.35
URL
7.36
VLAN
7.37
VPN
7.38
WAN
7.39
WITSML
7.40
XML
8.
Desarrollo
8.1
Generalidades
El proveedor o contratista debe proporcionar, conforme a esta especificacin tcnica, los servicios para la
integracin y seguridad de datos de TR de procesos industriales provenientes de los SDMC en los niveles de
proceso, estacin, supervisin, evaluacin y planeacin y toma de decisiones, proporcionando la seguridad y
la confiabilidad en el acceso a datos de TR; as mismo, debe identificar y administrar las vulnerabilidades
12/53
P.2.0610.02:2008
El proveedor o contratista debe presentar la arquitectura tecnolgica donde se muestren los niveles en los
que la recoleccin de datos de TR de proceso, la integracin de los mismos, su preservacin, su
transferencia a los sistemas de informacin y la seguridad de estos, se lleve a cabo de manera ordenada,
facilitando la identificacin y ubicacin de la infraestructura de equipo (hardware), programas (software) y
comunicaciones que se deben considerar para lograr el objetivo de la ISDPI.
8.2.1.1 La arquitectura tecnolgica de la automatizacin integrada de PEP, para lograr la estrategia de
automatizacin integrada desde la exploracin y produccin de hidrocarburos hasta la transformacin en
productos y subproductos derivados, debe cumplir con el anexo 11.1 de esta especificacin tcnica.
8.2.1.2 Para la integracin y seguridad de datos de procesos industriales, el proveedor o contratista debe
cumplir con el flujo de informacin entre los diferentes niveles de cobertura de la pirmide de automatizacin,
que se indica en el anexo 11.2 de esta especificacin tcnica.
8.2.2
La arquitectura de ISDPI, se debe organizar en los siguientes cinco niveles de automatizacin, los cuales
deben cumplir con los niveles de la pirmide de automatizacin indicada en el anexo 11.2 de esta
especificacin tcnica.
a)
b)
c)
d)
e)
8.2.2.1 Se deben identificar los servicios y la infraestructura existente conforme a los niveles de cobertura
indicados en numeral anterior, y aprovechar la infraestructura existente de PEP.
8.2.2.2 La arquitectura debe estar organizada verticalmente iniciando en el nivel inferior (proceso) llegando
hasta al nivel superior (toma de decisiones), organizada horizontalmente con los diferentes tipos de SDMC
que tpicamente se emplean en los procesos industriales de PEP, conforme al anexo 11.1 de esta
especificacin tcnica y al 11.1 de la P.2.0000.03.
8.2.2.3 As mismo conforme a esta arquitectura se debe identificar de acuerdo al nivel y al tipo de proceso
industrial, los componentes mnimos requeridos para la integracin de los datos de TR y la seguridad de los
mismos, se deben describir los aspectos generales en la seccin correspondiente a cada nivel y los detalles
en las hojas de especificacin al final de esta especificacin tcnica.
8.2.3 Soluciones y esquemas tecnolgicos para la seguridad de datos de TR de la arquitectura de
la ISDPI
Conforme a la arquitectura de ISDPI, los proveedores o contratistas deben emplear diferentes soluciones y
esquemas tecnolgicos para lograr la integracin segura de los datos del proceso para todos los niveles.
13/53
P.2.0610.02:2008
8.2.3.1 Los requisitos que los proveedores o contratistas deben cumplir, para proporcionar una conexin
segura para la integracin de datos de proceso son los siguientes:
a)
b)
c)
d)
Se debe contar con una segmentacin fsica y lgica entre las redes de datos (industrial y
administrativa), ejemplo; se deben separar la red industrial y la red administrativa, es decir; debe existir
una red industrial conformada por cableado fsico o inalmbrica para manejo de datos nica y
exclusivamente para los SDMC, redundante, separada e independiente (fsica y lgicamente) de la red
administrativa; de igual forma, para la red cableada se debe cumplir con la NRF-022-PEMEX-2008.
La segmentacin debe estar resguardada con un equipo que su nica funcin sea la de seguridad.
La red industrial debe estar conformada por equipos de comunicacin que cumplan con
especificaciones y certificaciones industriales (aplicable a los niveles de estacin y supervisin)
Se debe establecer una separacin del trfico en la WAN/MAN de acuerdo a la tecnologa de
telecomunicaciones existente o propuesta.
8.2.3.2 Las tecnologas que deben utilizar los proveedores o contratistas para transportar e integrar los
datos que provienen del nivel proceso y que se obtienen de un SDMC, deben estar en funcin de los
requisitos especficos del proyecto; dichas tecnologas (redes) para transportar y manejar los datos, deben
ser compatibles con las existentes en PEP, tales como:
a)
b)
Red cableada
Red inalmbrica:
UHF
Espectro disperso (Banda licenciada)
WIFI (802.x)
Red satelital
Estas tecnologas (redes) de transporte de datos deben manejar modelos de encriptacin de datos para
llevarlos de una manera segura a los servidores integradores/historiadores.
8.2.3.3 Cuando los servicios o tecnologas (solucin tecnolgicas) para la integracin de datos de
procesos de los sistemas industriales sean a travs de proveedores o contratistas, se debe cumplir con la
disponibilidad y confiabilidad del alcance del contrato conforme a los requerimientos especficos del rea
usuaria de PEP; as mismo, no se debe contemplar el uso de las siguientes tecnologas: GSM, GPRS,
EVDO, entre otras. La solucin tecnolgica que se emplee debe cubrir las siguientes funcionalidades para la
seguridad de los datos:
Controles de acceso.
Autenticacin.
No-Repudiacin.
Confiabilidad del dato.
Seguridad en la comunicacin.
Integridad del dato.
Disponibilidad.
Privacidad.
a)
La seguridad en el control de acceso a usuarios debe proteger a las redes y equipos, contra el uso de
recursos no autorizados y asegurar que solo personal o dispositivos autorizados son permitidos a
acceder a los elementos de red, informacin almacenada, al flujo de la informacin, servicios y
aplicaciones autorizadas.
La seguridad en los sistemas de autenticacin debe servir para confirmar las identidades de las partes
que se estn comunicando. La autenticacin debe garantizar la validez de la identidad solicitada por las
entidades participantes en la comunicacin, (personas, dispositivos, servicios o aplicaciones)
b)
14/53
c)
d)
e)
f)
g)
P.2.0610.02:2008
garantizando que la entidad no est pretendiendo enmascarar o reproducir una comunicacin previa no
autorizada.
La seguridad en la no repudiacin en los datos debe proveer los medios para la prevencin de una
accin en particular relacionada con los datos y que una persona o entidad niegue haber ejecutado al
poner a disposicin pruebas relacionadas con la red (tales como pruebas de obligacin, intento o
aceptacin, pruebas de orgenes de datos, de propiedad, de uso de recursos). Debe asegurar la
disponibilidad de pruebas que se pueden presentar a un tercero y se debe utilizar para demostrar que
algn tipo de evento o accin ha tenido lugar.
La seguridad en la confiabilidad de los datos los debe proteger de una divulgacin no autorizada, y
asegurar que el contenido de los datos no pueda ser entendido por entidades que no estn autorizadas
para su acceso. La encriptacin, listas de control de acceso y permisos en archivos deben ser mtodos
utilizados para proveer confidencialidad a los datos.
La seguridad en las comunicaciones nos debe permitir asegurar que la informacin fluya solo entre los
puntos autorizados (la informacin no debe ser desviada o interceptada entre estos puntos).
La seguridad en la integridad de los datos debe garantizar su exactitud o precisin. El dato debe ser
protegido contra modificaciones no autorizadas, supresin, creacin y replicacin y debe proveer un
indicador de estas actividades no autorizadas.
La disponibilidad debe garantizar que no hay negacin en el acceso autorizado a los elementos de red,
a la informacin almacenada, al flujo de la informacin, servicios y aplicaciones a menos que exista un
evento que impacte a la red, por lo que las soluciones de recuperacin de desastres deben ser parte de
la disponibilidad de la seguridad de la informacin.
Instalaciones remotas.
Instalaciones centrales.
Instalaciones tripuladas.
Instalaciones no tripuladas.
Oficinas centrales nacionales / sede.
Oficinas administrativas regionales / regin.
Oficinas administrativas locales / activo (opcional).
a)
Las instalaciones remotas, son aquellas que se localizan costa adentro o costa afuera (plataformas
marinas), planta, estacin, pozo, o rea industrial donde los datos de proceso de TR se generan y la
integracin de los mismos solo es posible a travs de una instalacin central la cual recolecta y
concentra el monitoreo y/o control de las instalaciones remotas.
Las instalaciones centrales, son aquellas instalaciones donde se concentra el monitoreo y control de
varios procesos industriales y la integracin de los datos de TR de procesos industriales se debe llevar
a cabo aprovechando la infraestructura de monitoreo y control de proceso existente en estas
instalaciones.
Las instalaciones tripuladas, son aquellas instalaciones donde se cuenta de manera permanente con
personal de operacin y/o mantenimiento para supervisar las condiciones operativas de la instalacin
misma y de otras instalaciones remotas a travs de SDMC.
Las instalaciones no tripuladas, son aquellas instalaciones que no cuentan con personal de operacin o
mantenimiento de manera permanente, por consiguiente la integracin de los datos de proceso de TR
tiene mayor relevancia al facilitar la supervisin de dichas instalaciones aprovechando los SDMC.
b)
c)
d)
15/53
e)
f)
g)
P.2.0610.02:2008
Las oficinas centrales nacionales / sede, es el rea de PEP donde se concentran los servicios de
recoleccin, preservacin, intercambio y publicacin de datos de procesos industriales a nivel nacional,
cuentan con sistemas empresariales administrativos y tcnicos de alcance nacional o externos a PEP,
es decir en las oficinas centrales nacionales se replican los datos de TR de procesos industriales que se
integran en las oficinas centrales regionales.
Las oficinas administrativas regionales / regin, son las reas de PEP donde se recolecta, preserva,
integra y publican los datos de procesos industriales de las instalaciones tripuladas y no tripuladas
pertenecientes geogrficamente a una de las regiones de PEP.
Las oficinas administrativas locales / activo, son las reas de PEP donde se integran y preservan los
datos de TR de proceso de las instalaciones industriales tripuladas y no tripuladas que pertenecen a
una Gerencia o Activo Integral
8.3
El proveedor o contratista debe llevar a cabo las actividades de integracin y seguridad de datos de TR, de
la instrumentacin de campo (elementos primarios y finales de control) al siguiente nivel de la arquitectura
cumpliendo los estndares de seguridad de datos y con la NRF-105-PEMEX-2005.
8.3.1
El proveedor o contratista debe llevar a cabo la integracin de los datos de TR de procesos industriales
desde la instrumentacin de campo existente hacia el SDMC de la instalacin.
8.3.1.1 A excepcin del equipo de instrumentacin que se integra a un controlador, el proveedor o
contratista debe aplicar de forma particular los requisitos del nivel de estacin. Por consiguiente, para la
integracin de datos de proceso en este nivel se debe cumplir lo siguiente:
a)
b)
c)
d)
8.3.2
Los mtodos de seguridad deben ser en base a los protocolos definidos en la NRF-046-PEMEX-2003, los
proveedores o contratistas deben cumplir lo siguiente:
a)
b)
No se deben realizar conexiones a internet o directas a una red administrativa desde la red del nivel de
proceso y viceversa.
Se deben restringir los accesos en la red del nivel de proceso mediante claves de acceso (password).
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no autorizados,
interferencias y/o daos, se deben utilizar esquemas y medios de seguridad establecidos por Organismos
Internacionales de Normalizacin y fabricantes de este tipo de redes y sistemas.
8.3.3
16/53
8.3.4
P.2.0610.02:2008
Para la integracin de datos de TR de la instrumentacin de campo hacia los SDMC ubicados en las
instalaciones industriales, los proveedores o contratistas deben emplear los protocolos de comunicacin que
cumplan con las funcionalidades que se establecen en la NRF-046-PEMEX-2003.
8.4
Las actividades para la integracin y la seguridad de los datos de TR del monitoreo y/o control del proceso,
de los datos de TR en el nivel de estacin deben asegurar que los datos de TR se lleven a travs de la red
Industrial, al nivel de supervisin de la arquitectura ISDPI, cumpliendo los estndares de seguridad de los
datos; adicionalmente se debe cumplir con los siguientes requisitos:
a)
b)
c)
d)
8.4.1
En este nivel los proveedores o contratistas deben recolectar los datos de TR de proceso, aprovechando la
infraestructura de equipo (hardware), programas (software) y comunicaciones asociadas a los SDMC de
procesos existentes o futuros para la integracin de los datos de TR de proceso al nivel de supervisin
conforme a lo siguiente:
a)
b)
c)
d)
17/53
e)
P.2.0610.02:2008
suministrar una IHM o un servidor que replique los datos de la IHM del operador y en esta se debe
instalar la interfaz o se debe reemplazar el IHM del operador por una de mayor capacidad, dejando la
misma con la configuracin de programa (software) original.
Las caractersticas de la Interfaz para el intercambio dinmico de datos deben ser conforme a lo
siguiente:
La interfaz para intercambio dinmico de datos se debe instalar en el equipo donde residen los datos de
TR de proceso.
La interfaz para intercambio dinmico de datos debe tener la capacidad de almacenar temporalmente
los datos (Buffer) en caso de falla de las comunicaciones en la red industrial y cuando la comunicacin
se restablezca el servidor integrador historiador a nivel de red administrativa debe reconstruir los datos
que no fueron enviados durante la interrupcin.
La IHM (consola del operador) o el servidor debe tener capacidad de almacenamiento en disco duro
para que los datos recolectados por la interfaz para intercambio dinmico de datos sean preservados
por al menos tres meses, en caso de falla de las comunicaciones, considerando esta capacidad de
almacenamiento independiente de la requerida para la operacin del propio IHM.
Los formatos de transferencia dinmica de datos que se permiten deben ser WITSML, PRODML, OPC
y/o series de tiempo, de acuerdo con la aplicacin y conforme con la NRF-046-PEMEX-2003.
8.4.2
La red de datos que se ubica en este nivel debe ser la red de control, los mtodos de seguridad que deben
cumplir los proveedores o contratistas deben ser en base a los protocolos definidos en la NRF-046-PEMEX2003. Cuando la red de control se interconecte con la red industrial (Ethernet industrial), derivado de las
diferentes tecnologas de automatizacin que se deben implantar, el proveedor o contratista debe de analizar
si es para proceso (control y/o monitoreo) o de un SIS. Los proveedores o contratistas deben cumplir con lo
siguiente:
a)
b)
c)
Bajo ninguna circunstancia en cualquiera de los casos anteriores, se debe establecer una conexin
directa hacia la red administrativa, a partir del nivel de evaluacin y planeacin. El proveedor o
contratista debe cumplir con lo siguiente:
No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del nivel
estacin; y viceversa.
Se deben de restringir los accesos en la red del nivel estacin.
Solo se debe autorizar el acceso a los equipos que operen como integradores/historiadores.
Los sistemas que requieran de acceso remoto en la red del nivel estacin, deben tener un mtodo de
seguridad aprobado por PEP.
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no
autorizados, interferencias y/o daos, deben utilizar esquemas y medios de seguridad establecidos por
Organismos Internacionales de Normalizacin y fabricantes de este tipo de redes y sistemas.
Solo se permite trfico de los protocolos definidos en la NRF-046-PEMEX-2003 y los que PEP apruebe.
Se deben emplear mecanismos para el monitoreo, respaldos, recuperacin de desastres y controles de
actualizaciones en la infraestructura de computo y de comunicaciones, as como de los datos de
proceso.
En el caso de los computadores de flujo, la integracin de sus variables se deber dar, como primera
opcin a travs del SDMC, de no existir este sistema, se debe de instalar en el cuarto de control un
equipo de interfaz para la integracin de variables que posteriormente se deben enviar al servidor
integrador en la red industrial.
Es responsabilidad del personal de la plataforma de tiempo real de PEP el dar soporte y servicio a la
infraestructura de cmputo, comunicaciones y seguridad, en este nivel.
8.4.2.1 Control del proceso. Debe existir redundancia en las telecomunicaciones del proceso, lo cual nos
proporciona disponibilidad y confiabilidad de cualquier accin que se tome en la operacin de los sistemas,
18/53
P.2.0610.02:2008
El equipo interfaz para el intercambio dinmico de datos de TR, debe ser el nico contacto hacia la red
industrial, el cual debe ser protegido con un equipo de seguridad adicional (fsico o lgico) hacia las
redes de datos superiores.
8.4.2.2 Monitoreo del proceso. Se debe contar con una segmentacin fsica y lgica en la cual se ha
destinado un direccionamiento IP, que se describe en el anexo 11.8.6 de esta especificacin tcnica. Los
proveedores o contratistas deben cumplir con lo siguiente:
8.4.2.2.1
Para la integracin de las variables de proceso a travs de la red Industrial, se debe instalar en
el servidor historiador la interfaz que enve dichos datos al nivel de supervisin, de no contar con dicho
servidor se debe adquirir un equipo adicional para la instalacin de la interfaz.
8.4.2.2.2
El equipo que tenga la interfaz debe ser el nico contacto hacia la red del nivel de estacin, la
cual debe ser resguardada con un equipo de seguridad.
8.4.2.2.3
Se debe proponer, la solucin tecnolgica en la arquitectura de red que permita un
escalamiento, para un posterior requerimiento de control.
8.4.2.3 Sistemas instrumentados de seguridad. Para los procesos crticos, las redes de comunicaciones
de los SIS deben cumplir con lo siguiente:
a)
b)
c)
d)
Deben de contar con redundancia en las telecomunicaciones donde el trfico sea exclusivamente del
proceso, lo cual proporciona la disponibilidad y confiabilidad de cualquier accin que se tome en la
operacin de los sistemas instrumentados de seguridad, de acuerdo a la NRF-046-PEMEX-2003 en su
numeral 8.4.2.2.2.
Se debe contar con una segmentacin fsica y lgica tanto del proceso como de la red administrativa
para la cual se ha destinado un direccionamiento IP, conforme el anexo 11.8 de esta especificacin
tcnica.
Para la integracin de las variables se debe instalar en el servidor integrador/historiador la interfaz que
enve los datos al nivel de supervisin, de no contar con dicho servidor se debe adquirir un equipo
adicional para la instalacin de la interfaz. As mismo, se debe instalar una tarjeta de red adicional en el
SIS (nivel de estacin) para establecer la conexin hacia el siguiente nivel de supervisin a travs de la
red industrial.
El equipo que tenga la interfaz debe ser el nico contacto hacia la red del nivel de estacin, la cual debe
ser resguardada con un equipo de seguridad.
8.4.3
Para la integracin de datos de TR en este nivel se requiere de interfaces para el intercambio dinmico de
datos para llevar a cabo la transferencia de datos desde el nivel de estacin al nivel de supervisin, para lo
cual los proveedores o contratistas deben utilizar arquitectura abierta y estndares de la industria. Las
interfaces permitidas en este nivel deben ser OPC, WITSML y cumplir con el numeral 8.2.3 de la NRF-046PEMEX-2003.
19/53
8.5
P.2.0610.02:2008
En este nivel se deben integrar, almacenar y distribuir los datos de TR de proceso, los proveedores o
contratistas deben cumplir con:
a)
b)
c)
d)
e)
f)
Proveer datos hacia el nivel de planeacin y anlisis conforme al anexo 11.5 de esta especificacin
tcnica.
Proveer datos de TR de proceso, en este nivel, para propsitos de administracin del activo, planeacin
estratgica para el desarrollo y explotacin de los yacimientos, elaborar y ejecutar los programas de
operacin de pozos, vigilar y mantener el estado ptimo de las instalaciones, optimizacin (fuera de
lnea/en lnea y en tiempo real) de los procesos a travs de herramientas de anlisis y simulacin y
procesamiento estadstico para determinar la calidad de los productos y el desempeo de la produccin.
Considerar la posibilidad de tener ms de un caso de integracin de datos:
Caso de integracin de Instalaciones administrativas de sector (monitoreo y control remoto).
Caso de integracin de Instalaciones administrativas de activo (monitoreo y control remoto).
La eleccin de un caso o sus combinaciones debe depender de la infraestructura de cmputo y
comunicacin disponible, para el requerimiento en particular de las soluciones de integracin de datos
hacia las instalaciones administrativas regionales y las de sede; en estos ltimos se debe considerar la
replicacin de datos.
Se deben integrar los datos de proceso generados en las diferentes instalaciones centrales terrestres o
marinas, que pueden pertenecer a un sector de un activo, a un activo o a varios activos (integracin a
nivel regional en un solo centro), utilizando el mnimo de infraestructura de integracin en las
instalaciones administrativas, por lo que se debe considerar la integracin de informacin en un solo
centro de integracin, con la finalidad de reducir costos de inversin, operacin y mantenimiento.
La viabilidad de cumplir con dicha poltica, debe depender de la localizacin geogrfica de las
instalaciones administrativas de cada sector, las del activo y las de la regin, as como de la
disponibilidad y capacidad de la infraestructura de comunicaciones, para la rplica de datos entre las
mismas; por lo que a continuacin en primer lugar se establecen las funciones de este nivel y
posteriormente los casos de integracin que se pueden tener en instalaciones administrativas.
8.5.1
En el nivel de supervisin la integracin de los datos de proceso se deben encontrar en los servidores
integradores historiadores de tiempo real, los cuales se deben encargar de recibir los datos enviados por las
interfaces de intercambio dinmico de datos, previamente instaladas en las IHM (consola del operador) o en
el servidor historiador propio del SDMC.
a)
b)
c)
d)
El servidor integrador historiador debe integrar los datos de proceso de diversos sistemas digitales de
monitoreo y control, consolidando una sola base de datos en tiempo real de mltiples y diversos
procesos. Y debe historiar o preservar estos datos, para analizar los datos con respecto al tiempo, al
contar con la facilidad de utilizar los datos histricos de algn proceso o procesos.
La integracin de datos en el nivel de supervisin se debe basar en los servidores integradores
historiadores, siendo estos servidores el principal componente para alcanzar la integracin de los datos
de proceso en tiempo real de los SDMC.
Los servidores integradores historiadores, debe ser infraestructura de computo independiente del
SDMC para historiar sus propios datos como parte del monitoreo y control de proceso. Por lo anterior, el
servidor integrador historiador se debe considerar como prioridad, el aprovechamiento de los recursos
de infraestructura existentes, tales como la plataforma de tiempo real vigente de PEP (Regiones,
Activos Integrales y Gerencias).
Conforme a la arquitectura de ISDPI los servidores integradores historiadores, se deben ubicar
fsicamente en los centros de datos tcnicos e industriales (SITE de computo industrial) adyacentes a
20/53
e)
los centros de monitoreo y control centralizado, a las salas de visualizacin, salas de monitoreo
centralizado, centros de operaciones integradas o los centros de atencin de emergencias.
Los servidores integradores historiadores del nivel de supervisin geogrficamente deben cumplir dos
funciones, la primera es integrar e historiar los datos de las instalaciones remotas y centrales tanto
tripuladas como no tripuladas, la segunda funcin es proveer datos de tiempo real a nivel oficinas
administrativas locales /activo o sector y a las oficinas administrativas regionales / regin.
8.5.1.1
a)
b)
c)
d)
b)
c)
d)
e)
Su objetivo debe ser el almacenamiento de datos de procesos industriales a nivel activo o sector,
nicamente se guardaran y explotaran datos de las instalaciones del propio activo o sector.
En caso de existir servidores integrador historiador a nivel de complejo, plataforma o instalacin, el
servidor historiador integrador del activo o sector deber almacenar o replicar los datos de procesos
industriales a su servidor para tener acceso a los datos.
Debe proporcionar datos de procesos industriales al servidor regional.
Este nivel de integracin corresponde a los datos generados en las instalaciones centrales a su cargo, y
de las cuales los proveedores o contratistas deben seleccionar los datos de procesos industriales, as
como integrar y enviar hacia el servidor integrador historiador regional.
8.5.1.2
a)
P.2.0610.02:2008
El objetivo del servidor integrador historiador en oficinas administrativas regionales debe ser el
almacenamiento de datos de procesos industriales provenientes del nivel de supervisin, en caso de
existir servidores integradores historiadores en activos, campos o complejos se tiene la posibilidad de
replicar datos de procesos industriales a su servidor.
Cuando las oficinas administrativas regionales se localicen geogrficamente en el mismo lugar que las
oficinas del activo, se deben integrar los datos de proceso de las diferentes instalaciones, sectores y/o
activos, segn sea el caso, en un solo centro de integracin.
Debe permitir acceso a portal de tiempo real con la finalidad de consultar la informacin y clculos que
residan en este servidor para el nivel regional, segn se fijen las polticas de seguridad y acceso a la
informacin.
Debe Proporcionar datos al servidor integrador historiador de oficinas centrales.
Se debe considerar la integracin de datos a nivel regin, cuando se cumplan las siguientes
condiciones:
8.5.2
En este nivel debe operar la red industrial y es donde se ubica un gran nmero de componentes y servicios
de tecnologa de informacin (TI) (como son servidores, equipos de comunicacin, equipo de cmputo
personal, sistemas, aplicaciones, entre otros.) con protocolos ms expuestos a ataques y violaciones
(TCP/IP), por lo que los proveedores o contratistas deben de considerar lo siguiente:
a)
b)
c)
d)
e)
No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del nivel de
supervisin; y viceversa.
Se deben de restringir los accesos en la red del nivel de supervisin.
Solo debe ser autorizado el acceso a los equipos que funjan como integradores/historiadores.
Los sistemas que requieran de acceso remoto en la red del nivel de supervisin, deben contar con un
mtodo de seguridad estricto y aprobado por PEP.
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no
21/53
f)
g)
P.2.0610.02:2008
autorizados, interferencias y/o daos, utilizando esquemas y medios de seguridad establecidos por
organismos internacionales de normalizacin y fabricantes de este tipo de redes y sistemas.
Solo se debe permitir trfico de los protocolos definidos en la NRF-046-PEMEX-2003 y los que PEP
apruebe.
Se deben emplear mecanismos para el monitoreo, respaldos, recuperacin de desastres y controles de
actualizaciones en la infraestructura de computo y de comunicaciones, as como de los datos de
proceso.
8.5.2.1 Se debe contar con una segmentacin fsica y lgica en la cual se ha destinado un
direccionamiento IP, que viene descrito en el anexo 11.8 de esta especificacin tcnica. Esto aplica para
aquellos equipos que son parte directa del proceso, como son las IHM, impresoras de reportes y los
servidores integradores/historiadores de los sistemas de monitoreo y/o control, los cuales deben cumplir con
las regulaciones descritas en el anexo 11.6 de esta especificacin tcnica.
8.5.2.2 En aquellos niveles de supervisin en donde se requiere contar con acceso a servicios de uso
comn como son el correo electrnico, SAP, aplicaciones de uso administrativo, entre otros. Deben estar
conectados fsicamente en una red independiente de la industrial, como se describe en el anexo 11.8 de
esta especificacin tcnica.
8.5.2.3 El equipo que tenga la interfaz ser el nico contacto hacia la red del nivel de evaluacin y
planeacin, la cual debe ser resguardada con un equipo de seguridad.
8.5.2.4 Debe ser responsabilidad del personal de la plataforma de tiempo real de PEP el dar soporte y
servicio a la infraestructura de cmputo, programas (software), comunicaciones y seguridad, en este nivel.
8.5.3
En este nivel se requiere de interfaces para el intercambio dinmico de datos para llevar a cabo la
transferencia de datos desde el nivel de supervisin al nivel de evaluacin y anlisis, para lo cual se deben
utilizar interfaces de arquitectura abierta y estndares de la industria. Las interfaces permitidas en este nivel
deben ser los definidos en el numeral 8.2.3 de la norma de referencia NRF-046-PEMEX-2003.
8.6
Los datos integrados e historiados se deben almacenar en bases de datos, las cuales deben proveer
datos a las reas de planeacin, coordinaciones tcnicas, optimizacin de procesos, atencin de
emergencias, de simulacin, entre otros. As mismo, en este nivel, ser el nico punto donde se
establecern los mecanismos de interconexin para el intercambio de datos entre el Corporativo y
Organismos Subsidiarios y proveedores o contratistas. Siempre respetando la confidencialidad de la
informacin.
22/53
8.6.1
P.2.0610.02:2008
8.6.1.1 De acuerdo a la arquitectura (anexo 11.1), se muestra que debe existir un solo centro de datos
industriales, a nivel nacional, y es donde se debe encontrar ubicada la plataforma de tiempo real, donde se
deben consolidar todos los datos de procesos que provendrn de los diferentes centros de monitoreo y
control de proceso.
8.6.1.2 La viabilidad de cumplir con dicha poltica, debe depender de la localizacin geogrfica, as como
de la disponibilidad y capacidad de la infraestructura de equipo (hardware), programa (software) y
comunicaciones, para la rplica de datos.
8.6.1.3
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
Debe existir un solo centro de datos industriales, el cual debe albergar la plataforma de tiempo real de
PEP.
La funcin de la plataforma de tiempo real debe ser la de recolectar, integrar e historiar datos de
procesos industriales de tiempo real provenientes del nivel de supervisin.
El centro de datos industriales debe ser el nico punto que proporcionar datos de procesos industriales
al nivel de toma de decisiones.
As mismo, debe ser el nico punto que proporcione datos de procesos industriales con otras entidades,
tales como: corporativo y organismos subsidiarios y proveedores o contratistas, debe ser a travs de la
plataforma de tiempo real.
El intercambio de datos de procesos industriales a otras entidades, debe ser a travs de los siguientes
mecanismos:
Interfaces proporcionadas entre los servidores de integracin e historizacin.
Sincronizacin entre RDBMS.
El desarrollo de servicios Web que permitan el acceso / recepcin de datos entre los servidores de
integracin, sistemas empresariales y/o aplicaciones administrativas y tcnicas.
La integracin de datos de procesos industriales de los niveles de supervisin, debe ser a travs de los
siguientes mecanismos:
Interfaces proporcionadas entre los servidores de integracin e historizacin de la plataforma de tiempo
real vigente: Series de tiempo, PRODML, WITSML y OPC
El intercambio o replica de datos de procesos industriales entre los centros de monitoreo y control as
como de las salas de visualizacin debe ser a travs de la plataforma de tiempo real.
La plataforma de tiempo real debe mantener un esquema de alta disponibilidad de los servidores de
integracin e historizacin.
Se deben emplear metodologas y tecnologas para la alta disponibilidad de la informacin,
recuperacin de desastres, monitoreo de la infraestructura de cmputo, comunicaciones y seguridad
que permitan analizar, prevenir y resolver eventos que afecten la operacin de estos.
En el caso de que alguna instalacin en particular, en el nivel de supervisin, ya cuente con servidor
integrador historiador y dispositivos de almacenamiento masivos de informacin; se debe considerar el
uso de dicha infraestructura, y no se deben suministrar estos componentes, a excepcin de que se
justifique la necesidad de incorporar alguno de ellos como un complemento, para proporcionar la
capacidad requerida que se demande en particular.
23/53
k)
P.2.0610.02:2008
b)
o
o
o
o
o
o
o
Integracin e historizacin. El servidor integrador historiador, debe tener como funcin principal, llevar
a cabo la integracin e historizacin de todos aquellos datos de procesos, del nivel de supervisin, que
puedan ser de utilidad para reas de planeacin, coordinaciones tcnicas, optimizacin de procesos,
atencin de emergencias, de simulacin, entre otros y en el nivel de toma de decisiones, para lo cual, el
servidor integrador historiador debe cumplir con las siguientes caractersticas bsicas:
Soportar mltiples protocolos e interfaces de intercambio dinmico de datos, estandarizados y de
arquitectura abierta.
Tener una estructura estandarizada para el manejo y transferencia de datos de tiempo real.
Tener una base de datos especializada del tipo series de tiempo o RDBMS Industrial, para el manejo de
datos de tiempo real.
Tener la capacidad de manejo de grandes volmenes de datos de tiempo real en un solo servidor.
Tener la capacidad para el almacenamiento masivo interno y externo, de los datos.
Utilizar el concepto de integracin basado en el modelo cliente/servidor distribuido.
En este nivel de evaluacin y planeacin, se requiere de interfaces de intercambio dinmico de datos
para llevar a cabo la transferencia de datos de procesos industriales recibidos del nivel supervisin,
para lo cual el proveedor o contratista debe utilizar interfaces de arquitectura abierta y estndares de la
industria. Las interfaces permitidas son las que se relacionan a continuacin:
Interfaces de la plataforma de tiempo real vigente
OPC
SERIES DE TIEMPO
WITSML
PRODML
RDBMS
XML
8.6.1.5 Servidores de aplicaciones avanzadas / optimizacin / simulacin. Deben ser las aplicaciones
orientadas a la industria petrolera que permiten procesar/manejar los datos integrados de los procesos
industriales, analizar la informacin, generar y evaluar modelos o escenarios, contar con elementos para la
optimizacin de procesos, realizar balances de materias, evaluacin de pozos, bases de datos tcnicas,
entre otros.
8.6.1.6 Fuentes de datos. Los datos integrados e historiados deben ser almacenados en una base de
datos industriales para su procesamiento y explotacin de los mismos, adems estos datos deben ser
compartidos con otras aplicaciones de PEP.
8.6.1.7 Aplicaciones tcnicas y servicios. Los datos de procesos industriales integrados e historiados en
este nivel deben ser visualizados mediante un portal operativo, colaborativo industrial y/o de inteligencia de
negocio, en donde se deben incluir grficos y/o tendencias y/o indicadores KPI y/o video de proceso y/o
fichas de datos tcnicos y/o vinculados con sistemas de informacin geogrfica (GIS), as mismo, uno de los
mecanismos de comparticin de datos con el nivel de toma de decisiones o con alguna entidad externa
deben ser servicios web (WebServices) o a travs de accesos controlados
24/53
P.2.0610.02:2008
8.6.1.8 Seguridad y monitoreo de la infraestructura. Debe ser la infraestructura necesaria que permite
garantizar la seguridad y disponibilidad de los servicios de la plataforma de tiempo real.
8.6.2
c)
Se debe resguardar el centro de datos tcnicos e industriales (CDTI) con una DMZ. El cual por
seguridad debe ser el nico proveedor de informacin al nivel de toma de decisiones.
Se deben emplear metodologas y tecnologas para la alta disponibilidad de la informacin,
recuperacin de desastres, monitoreo de la infraestructura de cmputo, comunicaciones y seguridad
que permitan analizar, prevenir y resolver eventos que afecten la operacin de estos.
Las metodologas y tecnologas deben de ser aprobadas por el personal responsable de la plataforma
de tiempo real de PEP.
8.6.3
Se requiere de protocolos de comunicacin como medio para intercomunicarse en este nivel y con los
niveles de supervisin y toma de decisiones. El protocolo permitido para este nivel es: TCP/IP.
8.7
En el nivel de toma de decisiones se debe llevar a cabo la interconexin y comunicacin de datos del
proceso desde los niveles de evaluacin y planeacin. En este nivel el proveedor o contratista debe
presentar los datos de tiempo real transformados en informacin / conocimiento, se debe proveer en este
nivel, a las reas ejecutivas y sustantivas del negocio, encargadas de las actividades principales de la
administracin, produccin, mantenimiento, distribucin y venta, perforacin y exploracin.
a)
8.7.1
En este nivel, los datos integrados e historiados en el nivel de evaluacin y planeacin se deben utilizar para
alimentarse y transferirse a los sistemas empresariales tales como el ERP, o algn otro sistema empresarial.
Estos datos sern los que se requieran en este nivel para la toma de decisiones.
a)
25/53
b)
P.2.0610.02:2008
En este nivel, el mecanismo de intercambio de informacin debe ser por medio de las interfaces que el
servidor de integracin cuente, as como para RDBMS, o en caso de no contar con ninguna interfaz, se
debe utilizar el desarrollo de servicios Web que permitan el intercambio de datos XML.
8.7.2
Siendo este un nivel administrativo donde las redes son administrativas, la seguridad debe estar sujeta a las
polticas y lineamientos de las reas de Tecnologa de Informacin as como de las de telecomunicaciones.
8.7.3
Mantenimiento.
Seguridad industrial.
Perforacin.
Produccin.
Transporte y distribucin.
Operacin.
Comercial.
Exploracin.
26/53
P.2.0610.02:2008
Minimizar los costos operacionales, al contar con informacin en tiempo real permitir al personal
enfocarse en las actividades operativas y no administrativas, al estar reportando las mediciones de
algn instrumento, proceso, instalacin, entre otros.
Minimizar el riesgo, al contar con la informacin de forma oportuna, confiable y poder compartirla con
las diferentes entidades, debe permitir analizar la situacin actual los procesos y tomar decisiones en
tiempo.
Prevenir eventos, contar con informacin que permita tomar acciones de forma inmediata minimizando
los riesgos.
Tomar de decisiones, al contar con un panorama general de todo el proceso industrial que permita
mejorar la toma de decisiones ya que se puede analizar los impactos, los diferentes escenarios, entre
otros.
9.
Esta especificacin tcnica no tiene concordancia con normas nacionales o internacionales al momento de
su elaboracin.
10.
Bibliografa
10.1
AGA 12. Task Group: Cryptographic protection of SCADA communications: General
recommendations, 2004. (Grupo de Trabajo: Proteccin Criptogrfica de Comunicaciones de SCADA:
Recomendaciones Generales, 2004).
10.2
API Standard 1164. Pipeline SCADA Security, American Petroleum Institute, Septiembre, 2004.
(Seguridad en SCADA de Ductos, Estndar API 1164, Instituto Americano del Petrleo).
10.3
BS ISO/IEC 17799:2000 BS 7799-1:2000. Information Technology Code for Practice for
Information Security Management. (Tecnologa de Informacin - Cdigo de Prcticas para Administracin de
Seguridad de la Informacin).
10.4
FIPS 46. Data Encryption Standard (DES), 1999 October 25. (Estndar para Encriptacin de
Datos 25 de octubre de 1999).
10.5
FIPS 140. Security Requirements for Cryptographic Modules 1994 January 11 (Requerimientos de
Seguridad para Mdulos Criptogrficos, 11 de enero de 1994).
10.6
1995).
FIPS 180. Secure Hash Standard (SHS), 1995 April 17 (Estndar de Hash Seguro, 17 de abril de
10.7
FIPS 186. Digital Signatura Standard (DSS), 1994 May 19 (Estndar de Firma Digital, 19 de mayo
de 1994).
27/53
P.2.0610.02:2008
10.8
FIPS 197. Advanced Encryption Standard (AES), November 26, 2001 (Estndar de Encriptacin
Avanzada, 26 de noviembre de 2001).
10.9
Industrial Network Security, ISA, Teumim, David J. 2005. (Seguridad en Red Inalmbrica, ISA).
10.10
ISA-TR99.00.01-2004. Security Technologies for Manufacturing and Control Systems. (Tecnologas
de Seguridad para Manufactura y Sistemas de Control).
10.11
ITU-T. Security in Telecommunications and Information Technology Version 2004 (Seguridad en
las Telecomunicaciones y Tecnologas de Informacin Versin 2004).
10.12
Lineamientos Particulares de Sistemas de Monitoreo y Control Electrnico en Instalaciones
de PEP. PEMEX-Exploracin y Produccin. Comunidad Profesional de Manejo, Distribucin y Ventas. 2002.
10.13
M. System Reliability Theory. Hoyland, A., Rausand, John Wiley and Sons, Inc. 1994 (M. Teora
de Sistemas de Confiabilidad).
10.14
NIST SP 800-30. Risk Management Guide for Information Technology Systems, Julio 2002.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf. (Gua de Administracin de Riesgo para
Sistemas de Tecnologa de la Informacin).
10.15
NIST SP 800-34. Contingency Planning Guide for Information Technology Systems, Junio 2002.
http://csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf (Gua de Planeacin de Contingencias para
Sistemas de Tecnologa de la Informacin).
10.16
NIST Special Publication 800-48. Wireless Network Security: 802.11, Bluetooth and Handheld
Devices. Noviembre, 2002. http://csrc.nist.gov/publications/nistpubs/800-48/NIST_SP_800-48.pdf (Seguridad
en Redes Inalmbricas: 802.11, Dispositivos Bluetooth y De Mano).
10.17
OPC Alarmas & Events Custom Interface Specification 1.0. (OPC Especificacin de Interfaz
Tradicional de Alarmas y Eventos 1.0) http://www.opcfoundation .org/DownloadFile .aspx?CM= 3&RI=
29&CN =KEY&CI=283&CU=25, octubre 2002.
10.18
OPC Data Access Custom Interface Specification 3.0. (OPC Especificacin de Interfaz
Tradicional de Acceso de Datos. 3.0) http://www.opcfoundation.org /DownloadFile .aspx/Data%20Access
/OPC%20DA % 203.00%20Specification.pdf?RI=67, marzo 2003.
10.19
OPC Data Exchange Specification 1.0. (OPC Especificacin de Intercambio de Datos 1.0)
http://www.opcfoundation.org/DownloadFile.aspx/Data%20eXchange/OPC%20DX%201.00%20Specification.
pdf?RI=77, marzo 2003.
10.20
OPC Historical Data Access Automation Interface Standard 1.0. (OPC Estndar de Interfaz
para Acceso de Datos Histricos de Automatizacin 1.0) http://www.opcfoundation .org/DownloadFile
.aspx?CM =3&RI =117 &CN=KEY&CI=283&CU=25, enero 2001.
10.21
P.2.0000.03. Manual de Especificaciones Automatizacin de Instalaciones de Proceso
Normatividad Tcnica, 2 Edicin de mayo de 2006.
10.22
10.23
10.24
P.2.0602.02. Desplegados Grficos Dinmicos para el Sistema Digital de Monitoreo y Control
(SDMC).
10.25
28/53
11.
11.1
Anexos (Normativos)
Arquitectura tecnolgica de la automatizacin integrada de PEP
29/53
P.2.0610.02:2008
11.2
Niveles de cobertura de la Pirmide de automatizacin, para la integracin y seguridad de
datos de procesos industriales.
11.3
Nomenclatura para la identificacin de variables en la base de datos de los servidores
integradores historiadores de PEP.
Con la finalidad de homogenizar y estandarizar los criterios para identificar los datos de procesos industriales
provenientes del instrumento, en los servidores integradores historiadores se debe identificar desde el tipo
de la variable hasta la Regin, como se indica en la siguiente tabla, y as evitar duplicidad en los TAGs de
stos; por lo que dicha nomenclatura se debe apegar a los siguientes campos:
Regin
Activo /
Gerencia
Campo /
yacimiento
Complejo /
Sector
Instalacin
Proceso
Equipo
esttico o
dinmico
Identificaci
n del
instrumento
Tipo de
variable
XXX
XXX
XXXX
XXX
XXXXXX99
XXXX
XXXXXX99
XXXXXXXX
XXX
XXXX
3
3
4
3
6
4
6
11
4
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Caracteres
Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos Alfanumricos
(fijos)
(fijos)
(fijos)
(fijos).
(fijos) +2
(fijos)
(fijos) + 2
(mximo)
(mximo)
Numricos
Numricos
(opcional
(opcional
cuando existe
cuando existe
mas de una
mas de un
instalacin)
equipo)
Donde:
Identificacin. Es el identificador que se le asigna a la identificacin dentro del servidor integrador historiador,
el cual se emplea para organizar y ordenar los datos provenientes de los Sistemas Digitales de Monitoreo y
Control (SDMCs).
30/53
P.2.0610.02:2008
La identificacin se debe conformar de caracteres que identifican de manera ordenada la regin, activo o
gerencia, campo o yacimiento, complejo o sector, instalacin, proceso, equipo, identificacin y tipo de
variable, por lo que cada regin debe elaborar su propios catlogos para la asignacin de los TAGs
respetando de manera invariable la cantidad de caracteres para los campos regin, activo/gerencia,
campo/yacimiento, complejo/sector, instalacin, proceso y equipo (excepto por los dos caracteres numricos
marcados como opcionales, los cuales pueden omitirse en caso de ser instalacin o equipo nico), con
respecto al campo para la identificacin TAG se deben utilizar los primeros 11 caracteres como mximo y
para el campo del tipo de variable este se debe apegar a la especificacin tcnica P.2.0401.02, cada uno de
los campos se debe separar por puntos.
As mismo, los catlogos que se definan por las coordinaciones regionales para la designacin de las TAGs
deben remitirse al rea responsable de la plataforma de tiempo real para su revisin, aprobacin y registro,
antes de su implantacin.
Ejemplos:
Identificacin = SUR.TDH.AGD.AADSTU.ALBO.BA105R.LIC103APID1.PV (asignado a la identificacin
dentro del servidor integrador historiador)
Identificacin = SUR\TDH\AGD\AADSTU\ALBO\BA105R\LIC103APID1.PV (asignado a la identificacin
dentro del servidor integrador historiador)
Identificacin = SUR_TDH_AGD_AADSTU_ALBO_BA105R_LIC103APID1.PV (asignado a la identificacin
dentro del servidor integrador historiador)
O una combinacin de los anteriores.
Donde:
SUR
Regin Sur
GTDH
SAGD
Sector aguadulce
CAMPO
AADSTU
ALBO
BA105R
LIC103APID1
PV
31/53
P.2.0610.02:2008
A continuacin se muestra una tabla con ejemplos para nombrar o identificar cada uno de los campos de la
identificacin:
Regin
Activo o
gerencia
GTDH = TDH, Burgos = BUR, Samaria Luna = SLU, Muspac = MUS, Cinco Presidentes =
5PR, Macuspana = MAC, Cantarell = CAN, Litoral de Tabasco = LIT, Abkatun Pool Chuc
= APC, Bellota Jujo = BEJ, Perforacin Divisin Sur = DIS, entre otros.
Campo o
yacimiento
Akal=AKAL,
Bolontiku=BTKU,
Cann=
CANN,
Chuc=CHUF,
Balam=BLAM,
Mallob=MALOB, Jacinto=JACT, Tepeyim=TPYN, Bellota=BLLT, Chinchorro=CHCR,
Muspac=
MSPC,
Soledad=SLDA,
Tres
hermanos=3HRM,
Coyotes=CYTS,
Anahuac=ANHC, Agua fra=AFRI, Pandura= PAND
Complejo o
sector
Akal J = AKJ, Cardenas = CAR, Aguadulce = AGD, Reforma = REF, Comalcalco = COM,
Cd. PEMEX = CDP, entre otros.
Instalacin
Proceso
Equipo
(esttico o
dinmico)
identificacin
de variable
Tipo de
variable
32/53
P.2.0610.02:2008
Se puede contar con TAGs calculados o replicados, por lo que para su rpida identificacin se debe poner
en el nombre del TAG un prefijo como por ejemplo:
Tipo
11.4
Prefijo
Replicado
rep.
Suma
sum.
Promedio
avg.
Totalizado
tot.
Performance equation
pe.
Dividido entre 10
d10.
d100.
Totalizados a las 5 am
t5am.
Totalizados a las X am
txam
Promedio a las 5 am
a5am.
Promedio a las 5 am
axam
11.4.1 Asignacin del nombre para los servidores integradores-historiadores de PEP. Los nombres
de los servidores integradores historiadores para cada regin y zona, se deben asignar conforme a la
siguiente tabla:
Regin
Marina Noreste
Marina Suroeste
Sur
Norte - AIB
Norte - AIV
Norte - AIPRA
Zona Marina
PEPMARPI01
PEPMARPI02
Zona Sur
Zona Norte
PEPSURPI01
PEPNTEPI01
PEPNTEPI02
PEPNTEPI03
As mismo se deben enviar los datos del servidor al rea responsable de la plataforma de tiempo real como
se muestra en la siguiente tabla:
Servidor PI
Servidor RT Portal
No. Inmovilizado
No. Inmovilizado
Direccin Ip
Direccin Ip
Versin instalada
Versin instalada
Marca
Marca
Modelo
Modelo
Procesadores
Procesadores
Velocidad
Velocidad
RAM
RAM
Sistema Operativo
Sistema Operativo
Ubicacin
Ubicacin
URL del sitio principal
33/53
11.5
P.2.0610.02:2008
Se debe preservar la seguridad y confidencialidad de la informacin, por lo que solo los dueos de la
informacin deben definir las reas que podrn visualizarla.
En caso de que las reas usuarias otorguen permisos hacia algn destinatario para que pueda visualizar o
incluso modificar algunos TAGs siempre y cuando se cumplan los siguientes puntos.
a)
b)
c)
El intercambio de informacin entre regiones debe ser pactado y acordado entre reas operativas y/o
sede.
El responsable y dueo de la informacin debe solicitar y autorizar de forma oficial al rea responsable
de la plataforma de tiempo real especificando los TAGs que podrn acceder, as como los privilegios y
quienes pueden visualizar la informacin.
El rea responsable de la plataforma de tiempo real debe dar los accesos e informar al rea
correspondiente.
H O J A D E E S P E C IF IC A C I N N o . 0 1
S E R V ID O R
N o m b re d e p ro ye c to :
R e a liz :
Fecha:
H o ja 1 d e 1
L o c a liz a c i n :
OPC
In te g ra d o r H is to ria d o r
W IT S M L
PRODML
In te g ra d o r A u x ilia r
W EB
A u te n tic a c io n
P ro x y
T ip o d e p ro c e s a d o r:
V e lo c id a d :
M e m o ria R A M :
R a n u ra s d e e x p a n s i n :
C a p a c id a d d e d is c o d u ro :
R e d u n d a n c ia e n d is c o d u ro :
M e m o ria R A M e n v id e o /m o n ito r:
S is te m a o p e ra tiv o :
C a n tid a d d e te c la d o s :
A rre g lo in te rn o d e d is c o s :
C D -R W
D V D -R W
P u e rto s e rie
N o . d e p u e rto s s e rie :
P u e rto p a ra le lo
N o . d e p u e rto s p a ra le lo :
P u e rto U S B
N o . d e p u e rto s U S B :
T ip o :
T a rje ta d e re d E th e rn e t
N o . d e ta rje ta s E th e rn e t:
V e lo c id a d :
V o lta je d e a lim e n ta c io n :
127 V C A
220 V C A
U n id a d d e a lm a c e n a m ie n to m a s iv o in te rn o
C a ra c te ris tic a s a d ic io n a le s :
N O T A : E S T A H O J A D E D A T O S T E C N IC O S D E B E S E R A U T O R IZ A D A P O R E L A R E A R E S P O N S A B L E D E L A P L A T A F O R M A D E T IE M P O R E A L D E P E P .
34/53
P.2.0610.02:2008
Lo calizaci n:
Fecha:
Ho ja 1de 1
Dispo sitivo integrado de seguridad
co n IDS, IP S y Co rtafuego s
Co rta Fuego s
P ro cesado r:
M emo ria RA M :
Capacidad:
P ro to co lo s de seguridad:
Rendimiento :
Interfaces de co nexi n:
Tipo de cifrado :
M eto do de A utenticacio n:
Vo ltaje de alimentaci n:
127 VCA
220 VCA
NOTA : ESTA HOJA DE DA TOS TECNICOS DEB E SER A UTORIZA DA P OR EL A REA RESP ONSA B LE DE LA P LA TA FORM A DE TIEM P O REA L DE
35/53
P.2.0610.02:2008
Lo calizaci n:
Fecha:
Ho ja 1de 1
Co nmutado r de dato s(Switch LA N)
Enrutado r
P ro cesado r:
M emo ria RA M :
Capacidad:
P ro to co lo s de co municaci n:
Rendimiento :
Interfaces de co nexi n:
P ro to co lo s de seguridad:
Cantidad de puerto s:
Tipo de puerto s:
Vo ltaje de alimentaci n:
127 VCA
220 VCA
NOTA : ESTA HOJA DE DA TOS TECNICOS DEB ERA SER A UTORIZA DO POR EL A REA RESP ONSA B LE DE LA P LA TA FORM A DE TIEM P O REA L
36/53
P.2.0610.02:2008
11.7
I.
Sistemas de monitoreo
I.1
I.2
I.3
I.4
I.5
I.6
I.7
I.8
I.9
II.
Sistemas de control
II.1
II.2
II.3
II.4
II.5
II.6
II.7
II.8
II.9
II.10
II.11
II.12
II.13
II.14
II.15
II.16
II.17
II.18
II.19
II.20
III.
Sistemas de seguridad
III.1
III.1.1
III.1.2
III.1.3
III.1.4
III.1.5
III.2
III.2.1
III.2.2
III.2.3
III.2.4
IV.
Sistemas auxiliares
IV.1
P.2.0610.02:2008
IV.2
IV.3
IV.4
IV.5
IV.6
IV.7
IV.8
IV.9
IV.10
IV.11
IV.12
IV.13
IV.14
IV.15
IV.16
IV.17
IV.18
IV.19
IV.20
11.8
11.8.1
Introduccin
11.8.2.1 La seguridad debe estar orientada a la proteccin de los bienes contra amenazas, donde las
amenazas deben ser categorizadas por el abuso potencial en contra de los bienes protegidos. Todas las
categoras se deben considerar; pero en el mbito de la seguridad, se debe dar mayor atencin a las
amenazas relacionadas con actividades maliciosas u otras actividades humanas. La figura 1 ilustra este
concepto en un alto nivel y su relacin entre los elementos que nos permiten trabajar en la seguridad.
38/53
P.2.0610.02:2008
Figura 1. Contexto general de la seguridad en un alto nivel y su relacin entre los elementos que
permiten trabajar con seguridad
11.8.2.2 Conforme lo muestra la figura 1, se debe vigilar y hacer mejoras en los esquemas de seguridad
que se implementen en las instalaciones industriales, siempre cumpliendo con las normas y estndares
requeridos por PEP para la integracin y seguridad de los datos de procesos.
11.8.2.3 Y para ello inicialmente se deben reconocer las vulnerabilidades de un sistema de monitoreo y
control, analizar y mitigar los riesgos asociados con ellas. Por lo anterior, se deben tomar en cuenta los
siguientes requerimientos:
11.8.2.4 La mayora de los sistemas SCADA mantienen su seguridad al estar aislados de cualquier otra red.
Es por ello que la seguridad de estos sistemas se debe basar en normas y arquitecturas que cumplan con
los siguientes requisitos:
39/53
P.2.0610.02:2008
convergiendo en algn punto con el mundo exterior, hacia las redes de datos conectadas a la Internet y por
lo tanto con un ndice alto de ataques de virus e intrusos hackers.
11.8.2.6 Para analizar la red que vamos a proteger se deben conocer los siguientes trminos:
Red de Instrumentacin.
Red de Control.
Red Industrial.
Red Administrativa.
a)
Red de instrumentacin.- Red de instrumentos o dispositivos, la cual debe permitir interconectar entre
si: sensores, interfaces de operador, dispositivos drivers, arrancadores suaves, entre otros, para ser
controlados por el SDMC, y debe cumplir con los protocolos de comunicacin que se indican en la NRF046-PEMEX-2003, entre otros que PEP apruebe.
Red de control. Red de comunicaciones que permite un control permanente de todos los dispositivos
conectados a ella y debe cumplir con los protocolos de comunicacin que se indican en la NRF-046PEMEX-2003, entre otros que PEP apruebe. Esto significa que cada uno de los dispositivos conectados
a la red de control, deben estar controlados por al menos, un dispositivo de supervisin.
Red industrial. Red Ethernet en donde se tienen conectados solo dispositivos propios del SDMC, como
son las Interfaces Humano Mquina (IHM), servidores historiadores e impresoras de uso especfico
reporteadores, y debe cumplir con los protocolos de comunicacin que se indican en la NRF-046PEMEX-2003, entre otros que PEP apruebe.
Red administrativa. Red en donde TI debe contar con todas las fortalezas de servicio y la interaccin
con usuarios dedicados a procesos administrativos y al manejo de informacin operativa ya extrada del
rea industrial.
b)
c)
d)
11.8.2.7 En la figura 2 se ilustran la clasificacin de redes que se han creado para establecer estrategias de
servicios y arquitecturas:
Se deben seguir las siguientes reglas para conectar una red industrial con la administrativa:
1)
Se debe contar con una segmentacin fsica de la red administrativa con la red de datos industrial.
40/53
2)
3)
P.2.0610.02:2008
Esta segmentacin debe estar resguardada con un equipo que su nica funcin sea la de seguridad.
Se debe establecer una separacin del trfico en la WAN mediante VPNs si es capa 3 y/o PVCs si es
en capa 2, de acuerdo a la tecnologa de telecomunicaciones
11.8.4
Segmentacin de redes
Debe existir una red cableada de datos nica y exclusivamente para el SCADA o para los Sistemas Digitales
de Monitoreo y Control (SDMC), redundante y separada e independiente (fsica y lgicamente) de la red
administrativa (figura 4) o de cualquier equipo que sea de uso general y que se encuentre dentro del cuarto
de control (figura 5) respetando en todo momento, los requerimientos especificados en la NRF-022-PEMEX2008.
41/53
P.2.0610.02:2008
Figura 5. Cuarto de control con equipos de uso general (Office, correo, intranet, internet, entre otros)
11.8.4.1 Cuando se tenga este tipo de esquemas, se debe conectar en diferentes equipos de
comunicaciones las estaciones de trabajo (IHM) y los equipos de uso general. De no contar con un equipo
adicional y que la instalacin no sea de alto riesgo, se debe de considerar lo siguiente:
a)
b)
11.8.4.2 Es muy importante no manejar servicios comunes (Paquetera de office no requerida, correo,
intranet, internet, USB o CD/DVD si no es necesario, entre otros.) en las IHM. Se debe considerar, al
momento de hacer requisiciones, equipos de uso general para el personal operativo de las instalaciones
industriales.
11.8.5
11.8.5.1 Para el caso de los SDMC y de los SIS los datos del proceso se deben concentrar en un servidor
historiador o en una IHM (con funciones de historizacin), siendo estos los nicos elementos que
establezcan comunicacin entre la red de control y la red industrial, para su posterior envi de los datos de
proceso hacia la red administrativa, ver figura 6.
42/53
P.2.0610.02:2008
Inicia
Termina
Marina Suroeste
10.190.0.0
10.194.255.255
Marina Noreste
10.195.0.0
10.199.255.255
10.181.0.0
10.184.255.255
10.171.0.0*
10.171.255.255*
10.121.0.0
10.124.255.255
Sur
Norte
*(Zona Istmo) Se deben manejar dos segmentos para la Regin Sur derivado de las
ubicaciones por zonas en las que est distribuida la infraestructura de GIT
11.8.6.2 El detalle del direccionamiento IP para cada instalacin debe estar estructurado de acuerdo a los
nodos de comunicaciones y a los sistemas del proceso, figura 8.
43/53
P.2.0610.02:2008
11.8.7.1 Para mantener la seguridad y mitigar amenazas al momento de conectar la red industrial con la
administrativa para la extraccin de los datos del proceso, se debe de contar con un sistema de deteccin y
proteccin que permita la prevencin de intrusiones y actu como un cortafuegos, siendo estas las nicas
funciones del equipo, adems de:
a)
b)
c)
Proveer un amplio rango del permetro de la red con servicios de seguridad para no permitir accesos no
autorizados, filtracin de contenido, trfico malicioso, virus, gusanos, spam.
Debe tener la capacidad y flexibilidad de controlar el acceso de aplicaciones, servicios y protocolos
definidos por el usuario.
Integrar mtodos de inspeccin que proveen aplicaciones para los servicios de seguridad y control de
protocolos tales como: Hypertext transfer Protocol (http), Hipertext Markup Languaje (HTML),File
Transfer Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System
(DNS), Simple Network Management Protocol (SNMP), Internet Control Message Protocol (ICMP),
SQL*Net, Network File System (NFS), H.323 Versiones 1-4, Session Inicial Protocol (SIP), Cisco Skinny
Client Control Protocol (SCCP), Real-Time Streaming Protocol (RTSP), GPRS Tunneling Protocol
(GTP), Internet Locator Services (ILS), Sun Remote Procedure Call (RPC) y otros.
11.8.7.2 Cabe sealar que no se debe utilizar una sola marca en equipos de comunicacin y seguridad, ni
modelos que hayan salido recientemente al mercado. Esto es, si existe ms de un sistema en una zona se
debe de alternar modelos y marcas ya que si existe una falla se replica en toda la zona ocasionando la
perdida de la informacin o algo mas critico, la posibilidad de perder el control en la instalacin.
11.8.7.3 El equipo solo debe permitir el acceso a:
o
o
o
P.2.0610.02:2008
Servidor de actualizaciones
11.8.7.4 Siendo estas direcciones IPs y puertos los que se tendrn que vigilar, por lo que se deben tener
pantallas donde se deben monitorear estos equipos; as mismo, se deben configurar alarmas de incidentes,
y crear reportes cada 15 das (los cuales se deben establecer por personal responsable del rea de control y
automatizacin o rea equivalente) para el seguimiento de la operacin de estos equipos.
11.8.7.5 Se deben tener publicados todos los programas de mantenimiento a estos equipos y a la red de
datos industrial y se deben tener que informar al rea operativa con 3 das de anticipacin, recordndoles
durante los siguientes das, mediante avisos electrnicos.
11.8.7.6 Los siguientes son los esquemas que se deben manejar para la conectividad entre las redes
utilizando equipos de seguridad:
45/53
P.2.0610.02:2008
Figura 10. Diagrama de conexin de equipos de proceso y de uso general en el mismo cuarto de
control
11.8.7.7 Soluciones tecnolgicas. El proveedor o contratista debe implementar una de las siguientes
soluciones tecnolgicas de seguridad hacia la red industrial para instalar los equipos de red, que cumplan
con su funcin como se solicita en la presente especificacin tcnica:
a)
a.1)
Solucin A
Debe aplicar un filtro para red transparente, en lnea, encargado de bloquear ataques al tiempo que
permite el flujo ininterrumpido de trfico legtimo.
46/53
P.2.0610.02:2008
a.2)
b)
b.1)
Solucin B
Debe permitir mostrar las capacidades de deteccin / bloqueo mediante la tecnologa de respuesta
activa y que cumpla con los requerimientos de:
Detectar ataques conocidos y no conocidos.
Operar sin firmas.
Instalacin y operacin sencilla.
No debe ser un punto de falla en la red.
No debe generar latencia en el trfico real.
o
o
o
o
o
b.2)
c)
c.1)
47/53
c.2)
d)
d.1)
d.2)
P.2.0610.02:2008
48/53
P.2.0610.02:2008
11.8.8 Acceso a la informacin de tiempo real por parte de proveedores o contratistas prestadoras
de servicios
PEP debe contar con una solucin de manejo de identidad para otorgar el acceso a todos los prestadores de
servicio y que cuenten con un contrato vigente y con ello se tenga un estricto seguimiento en la red de datos.
11.8.9
En tanto se implementa la solucin de manejo de identidad, se deben seguir los siguientes requisitos para la
conectividad y acceso a la informacin de tiempo real:
49/53
P.2.0610.02:2008
1.
Se debe solicitar a PEP la creacin de una cuenta VPN, quien autorizar su creacin, conforme al
formato del anexo 11.9 de esta especificacin tcnica.
2.
Personal autorizado de PEP debe crear una cuenta en el directorio activo, capturando la siguiente
informacin:
50/53
P.2.0610.02:2008
3.
Personal de PEP debe crear un grupo o unidad organizacional en el directorio activo para agrupar a
los usuarios y aplicar las polticas de tecnologa de informacin.
51/53
4.
5.
6.
7.
8.
P.2.0610.02:2008
Personal responsable de PEP debe crear un sitio el cual debe ser el nico lugar donde pueda navegar
el proveedor o contratista, as mismo deben determinar la normativa del nombre del sitio y sus
polticas.
El equipo debe estar identificado (Nombre, direccin IP).
Los equipos de cmputo del proveedor o contratista deben contar con las ltimas actualizaciones del
sistema operativo, as como de antivirus.
Los usuarios de proveedor o contratista se deben sujetar a las reglas del buen uso de la
infraestructura informtica de PEP.
Personal responsable de PEP debe de generar los reportes mensuales de acceso a la informacin, a
la red y a los servidores de PEP, por parte de los proveedores o contratistas de servicio.
Cuando se tenga el esquema de extender la red de PEP hacia los edificios de los proveedores o contratistas
o inclusive si estos estn dentro de las instalaciones de PEP, se debe cumplir con los siguientes requisitos:
a)
b)
c)
1)
2)
3)
4)
5)
Se debe solicitar a PEP la creacin de una cuenta VPN, quien autorizar su creacin, conforme al
formato del anexo 11.9 de esta especificacin tcnica.
Al crear la cuenta VPN, esta debe asignar una direccin IP vlida en la red de PEP.
La IP asignada a la cuenta VPN debe ser esttica.
Esta IP debe ser la nica que se configure para tener acceso por el equipo de seguridad
(cortafuegos) de la red Industrial y se debe proceder a permitir la conexin hacia el dispositivo dentro
del rea de proceso.
Los siguientes requisitos, se deben aplicar para el caso de que se tenga el esquema de extender la
red de PEP hacia los edificios de los proveedores o contratistas o inclusive si estos estn dentro de
las instalaciones de PEP.
El equipo debe estar identificado (Nombre, direccin IP).
El equipo de cmputo debe contar con las ltimas actualizaciones del sistema operativo, as como del
antivirus, informacin que se debe entregar al solicitar el acceso a la red de PEP.
52/53
11.9
P.2.0610.02:2008
Los usuarios de proveedores o contratistas se deben sujetar a las reglas del buen uso de la
infraestructura informtica de PEP.
PEP, mediante el personal del rea de control y automatizacin y de TI, puede solicitar una revisin
del equipo de los proveedores o contratistas en cualquier momento.
Personal responsable de PEP debe de generar los reportes mensuales de acceso a la informacin, a
la red y a los servidores de PEP, por parte de los proveedores o contratistas de servicio.
Formato para solicitud de cuentas VPN
53/53