Está en la página 1de 56

Nmero de Documento

NRF-225-PEMEX-2009
SUBCOMIT TCNICO DE NORMALIZACIN DE
PEMEX EXPLORACIN Y PRODUCCIN
21 de julio de 2009
PGINA 1 DE 56
COMIT DE NORMALIZACIN DE PETRLEOS MEXICANOS
Y ORGANISMOS SUBSIDIARIOS
INTEGRACIN Y SEGURIDAD DE DATOS DE
PROCESOS INDUSTRIALES
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 3 DE 56
Rev: 0
ANTEPROY-
CONTENIDO
CAPTULO PGINA
0. INTRODUCCIN.................................................................................................................................. 6
1. OBJETIVO............................................................................................................................................ 7
2. ALCANCE............................................................................................................................................. 7
3. CAMPO DE APLICACIN................................................................................................................... 7
4. ACTUALIZACIN ................................................................................................................................ 8
5. REFERENCIAS .................................................................................................................................... 8
6. DEFINICIONES .................................................................................................................................... 8
7. SMBOLOS Y ABREVIATURAS.......................................................................................................... 11
8. DESARROLLO..................................................................................................................................... 13
8.1 Generalidades ............................................................................................................................ 13
8.2 Integracin y seguridad de datos de procesos industriales (ISDPI) .......................................... 13
8.2.1 Arquitectura del ISDPI ................................................................................................... 13
8.2.2 Niveles de la arquitectura para la ISDPI........................................................................ 14
8.2.3 Soluciones y esquemas tecnolgicos para la seguridad de datos de la
arquitectura de la ISDPI................................................................................................. 14
8.2.4 Categorizacin de instalaciones .................................................................................... 16
8.3 Integracin y seguridad de datos en el nivel de proceso ........................................................... 16
8.3.1 Integracin de datos en el nivel de proceso .................................................................. 16
8.3.2 Seguridad de datos en el nivel de proceso ................................................................... 17
8.3.3 Especificaciones tcnicas en el nivel de proceso.......................................................... 17
8.3.4 Protocolos de comunicacin en el nivel de proceso...................................................... 17
8.4 Integracin y seguridad de datos en el nivel de estacin........................................................... 17
8.4.1 Integracin de datos en el nivel de estacin ................................................................. 17
8.4.2 Seguridad de datos en el nivel de estacin................................................................... 18
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 4 DE 56
Rev: 0
ANTEPROY-
CONTENIDO
CAPTULO PGINA
8.4.3 Especificaciones tcnicas en el nivel de estacin......................................................... 20
8.4.4 Protocolos de comunicacin en el nivel de estacin..................................................... 20
8.5 Integracin y seguridad de datos en el nivel de supervisin...................................................... 20
8.5.1 Integracin de datos en el nivel de supervisin............................................................. 20
8.5.2 Seguridad de datos en el nivel de supervisin.............................................................. 22
8.5.3 Especificaciones tcnicas en el nivel de supervisin .................................................... 22
8.5.4 Protocolos de comunicacin en el nivel de supervisin ................................................ 22
8.6 Integracin y seguridad de datos en el nivel de evaluacin y planeacin ................................. 22
8.6.1 Integracin de datos en el nivel de evaluacin y planeacin ........................................ 23
8.6.2 Seguridad de datos en el nivel de evaluacin y planeacin.......................................... 25
8.6.3 Especificaciones tcnicas en el nivel de evaluacin y planeacin................................ 25
8.6.4 Protocolos de comunicacin en el nivel evaluacin y planeacin................................. 25
8.7 Integracin y seguridad de datos en el nivel de toma de decisiones......................................... 25
8.7.1 Integracin de datos en el nivel de toma de decisiones................................................ 25
8.7.2 Seguridad de datos en el nivel de toma de decisiones ................................................. 26
8.7.3 Especificaciones tcnicas en el nivel de toma de decisiones ....................................... 26
8.7.4 Protocolos de comunicacin en el nivel de toma de decisiones ................................... 26
8.8 Manejo de informacin en tiempo real ....................................................................................... 26
9. RESPONSABILIDADES..................................................................................................................... 27
9.1 Petrleos Mexicanos y Organismos Subsidiarios ...................................................................... 27
9.2 Proveedor y/o contratista............................................................................................................ 27
10. CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES .................................. 27
11. BIBLIOGRAFA.................................................................................................................................... 27
12. ANEXOS............................................................................................................................................... 30
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 5 DE 56
Rev: 0
ANTEPROY-
CONTENIDO
CAPTULO PGINA
12.1 Arquitectura tecnolgica de la automatizacin integrada de PEMEX........................................ 30
12.2 Niveles de cobertura de la Pirmide de automatizacin para la integracin y seguridad
de datos de procesos industriales .............................................................................................. 31
12.3 Nomenclatura para la identificacin de variables en la base de datos de los servidores
integradores historiadores .......................................................................................................... 31
12.4 Nomenclatura para la identificacin de servidores integradores historiadores de PEMEX....... 34
12.5 Intercambio de datos entre servidores integradores historiadores ............................................ 35
12.6 Especificaciones tcnicas de la infraestructura de equipo de cmputo..................................... 36
12.7 Tipos de sistema digitales de monitoreo y control en las instalaciones industriales de PEMEX 39
12.8 Seguridad de la red industrial ..................................................................................................... 40
12.9 Formato para solicitud de cuentas VPN..................................................................................... 53
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 6 DE 56
Rev: 0
ANTEPROY-
0. INTRODUCCIN
Dentro de las principales actividades que se llevan a cabo en Petrleos Mexicanos y Organismos Subsidiarios
(PEMEX), se encuentran la extraccin, recoleccin, procesamiento primario, refinacin, petroqumica bsica,
almacenamiento, medicin, distribucin y transporte de hidrocarburos, actividades que requieren del diseo,
construccin, arranque, operacin, mantenimiento de instalaciones, as como de la adquisicin de materiales y
equipos requeridos para cumplir con eficiencia y eficacia los objetivos de la empresa.
La automatizacin de los procesos industriales de PEMEX, se ha llevado a cabo mediante la instalacin de
Sistemas Digitales de Monitoreo y Control SDMC con el objetivo de monitorear y controlar en tiempo real
aquellos procesos rutinarios, riesgosos y complicados. PEMEX identific que la integracin de los datos que se
generan en estas instalaciones, plantas o procesos le agrega valor al negocio y es fundamental en la toma de
decisiones.
Como consecuencia, PEMEX desarrollo una estrategia para la Integracin de Sistemas de Automatizacin
Industrial, donde uno de sus objetivos es la integracin y la seguridad de los datos de procesos industriales.
Para la integracin y seguridad de los datos de proceso generados en las instalaciones de produccin,
refinacin, petroqumica bsica, transporte, distribucin y almacenamiento de hidrocarburos se les debe
transferir en tiempo real, proporcionndoles disponibilidad y confiabilidad, y llevar a cabo su distribucin en
lnea, con la finalidad de suministrar informacin de Tiempo Real, hacia los sistemas de integracin y/o de
anlisis localizados en las reas operativas y hacia los sistemas de informacin empresariales de PEMEX, para
el mejor control y administracin de las operaciones de las instalaciones; as como para la planeacin y toma de
decisiones del negocio.
Para lograr lo anterior, se debe contar con una normatividad actualizada acorde con las exigencias de los
trabajos a desarrollar y que cumpla con los requerimientos de integracin y seguridad de los datos para contar
con instalaciones eficientes y seguras.
Con el objeto de unificar criterios, aprovechar las experiencias dispersas y conjuntar resultados de las
investigaciones en normatividad nacional e internacional, PEMEX emite este documento tcnico para su
aplicacin en el diseo, adquisicin, construccin y operacin de bienes o servicios, para la Integracin y
Seguridad de Datos de Procesos Industriales de las instalaciones existentes y futuras de PEMEX.
Este documento normativo se realiz en atencin y cumplimiento a:
Ley Federal sobre Metrologa y Normalizacin y su Reglamento.
Ley de Obras Pblicas y Servicios Relacionados con las Mismas y su Reglamento.
Ley de Adquisiciones, Arrendamientos y Servicios del Sector Pblico y su Reglamento.
Ley General de Equilibrio Ecolgico y la Proteccin al Ambiente y su Reglamento.
Gua para la Emisin de Normas de Referencia de Petrleos Mexicanos y Organismos Subsidiarios
(CNPMOS-001, 30 septiembre 2004).
En esta norma participaron:
Petrleos Mexicanos.
Pemex Exploracin Produccin.
Pemex Gas y Petroqumica Bsica.
Pemex Petroqumica.
Pemex Refinacin.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 7 DE 56
Rev: 0
ANTEPROY-
Participantes externos:
Instituto Mexicano del Petrleo
Siemens, S. A de C. V.
Emerson Process Management, S. A de C. V.
Invensys Systems de Mxico, S. A de C. V.
Osisoft de Mxico, S. A de C. V.
ABB de Mxico, S. A de C. V.
Honeywell de Mxico, S. A de C. V.
Yokogawa de Mxico, S. A de C. V.
Rockwell Automatin de Mxico, S. A de C. V.
1. OBJETIVO
Establecer los requisitos tcnicos y documentales que deben cumplir los proveedores y contratistas en la
ejecucin de los servicios de integracin y seguridad de datos de procesos industriales que se obtienen de las
instalaciones automatizadas de Petrleos Mexicanos y Organismos Subsidiarios.
2. ALCANCE
Esta norma de referencia cubre los requisitos tcnicos que se deben cumplir en la contratacin de los servicios
de diseo, especificacin, adquisicin, instalacin y pruebas de la integracin de sistemas digitales de
automatizacin industrial, basados en la integracin y seguridad de datos de los procesos industriales de las
instalaciones automatizadas existentes y futuras de PEMEX, consideradas en la Estrategia de Automatizacin
Integrada de Petrleos Mexicanos y Organismos Subsidiarios, y comprende los siguientes niveles de la
pirmide de automatizacin:
Proceso (Instrumentacin)
Estacin (Controlador)
Supervisin (Monitoreo y acciones de control)
Evaluacin y planeacin
Toma de decisiones
3. CAMPO DE APLICACIN
Esta norma de referencia es de aplicacin general y observancia obligatoria en la adquisicin, contratacin o
arrendamiento de los bienes y servicios objeto de la misma, que lleven a cabo los centros de trabajo de
Petrleos Mexicanos y Organismos Subsidiarios. Por lo tanto, se debe incluir en los procedimientos de
contratacin: licitacin pblica, invitacin a cuando menos tres personas o adjudicacin directa; como parte de
los requisitos que debe cumplir el proveedor o contratista.
As mismo, la presente norma de referencia es de aplicacin general y observancia obligatoria, para los trabajos
que Petrleos Mexicanos y Organismos Subsidiarios desarrollen por administracin directa.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 8 DE 56
Rev: 0
ANTEPROY-
4. ACTUALIZACIN
Esta norma de referencia se debe revisar y en su caso modificar al menos cada 5 aos o antes si las
sugerencias y recomendaciones de cambio lo ameritan.
Las sugerencias para la revisin y actualizacin de esta norma, deben enviarse al Secretario del Subcomit
Tcnico de Normalizacin de PEMEX-Exploracin y Produccin, quien debe programar y realizar la
actualizacin de acuerdo a la procedencia de las mismas y en su caso, inscribirla dentro del Programa
Anual de Normalizacin de Petrleos Mexicanos, a travs del Comit de Normalizacin de Petrleos
Mexicanos y Organismos Subsidiarios.
Las propuestas y sugerencias de cambio deben elaborarse en el formato CNPMOS-001-A01 de la Gua
para la Emisin de Normas de Referencia CNPMOS-001-A01, Rev. 1 del 30 de septiembre de 2004 y
dirigirse a:
PEMEX-Exploracin y Produccin.
Subcomit Tcnico de Normalizacin.
Baha de Ballenas 5, Edificio D, PB., entrada por Baha del Espritu Santo s/n.
Col. Vernica Anzures, Mxico D. F., C. P. 11 300
Telfono directo: 1944-9286
Conmutador: 1944-2500 extensin 380-80, Fax: 3-26-54
Correo electrnico: lortizh@pep.pemex.com
5. REFERENCIAS
5.1 NOM-008-SCFI-2002. Sistema general de unidades de medida.
5.2 NRF-022-PEMEX-2008. Redes de cableado estructurado de telecomunicaciones para edificios
administrativos y reas industriales.
5.3 NRF-046-PEMEX-2003. Protocolos de comunicacin en sistemas digitales de monitoreo y control.
5.4 NRF-049-PEMEX-2006. Inspeccin de bienes y servicios.
5.5 NRF-105-PEMEX-2005. Sistemas digitales de monitoreo y control.
6. DEFINICIONES
Para efectos de esta norma, se entiende por:
6.1 ADITEP. Estrategia de aplicacin nacional que permite mantener y proteger los datos tcnicos, as
como contar con mecanismos modernos para su aprovechamiento de forma eficiente y oportuna.
6.2 Autenticacin. Medida de seguridad diseada para proteger un sistema de comunicacin en contra de
la aceptacin de transmisiones o simulaciones fraudulentas, por medio del establecimiento de la validez de la
transmisin, mensaje u originador. Acto de verificar la identidad reclamada de una entidad.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 9 DE 56
Rev: 0
ANTEPROY-
6.3 Autorizacin. Privilegios o derechos concedidos a un usuario o entidad para acceder, leer, modificar,
insertar o borrar ciertos datos o para ejecutar ciertos programas.
6.4 Base de datos del tipo series de tiempo. Solucin de almacenamiento de datos histricos que se
desarrolla a partir de una base de datos por excepcin o a travs de tecnologas propietarias.
6.5 Centro de integracin. Cualquier instalacin administrativa, ya sea de sector, activo o regin, en donde
se lleve a cabo la integracin de datos provenientes de proceso.
6.6 Centro de operaciones integradas. Infraestructura necesaria para la integracin de las funciones de
los centros regionales de atencin y respuesta a emergencias, centros regionales de estudios y evaluaciones,
centros de visualizacin y cuartos centrales de monitoreo y control.
6.7 Confiabilidad. Capacidad de una unidad funcional para cumplir una funcin requerida bajo ciertas
condiciones en un intervalo dado de tiempo.
6.8 Controles de acceso. Aseguran que solo personal o dispositivos autorizados son permitidos a acceder
a los elementos de red, informacin almacenada, al flujo de la informacin, servicios y aplicaciones.
6.9 Cortafuegos (dedicados) firewall. Dispositivo usado para regular el control de acceso de y para una
red, as como para proteger a las computadoras conectadas a la misma, de usos no autorizados. Los
cortafuegos utilizan mecanismos que bloquean o permiten cierto tipo de trfico, regulando el flujo de
informacin.
6.10 Datos de procesos industriales. Se refiere a los datos de Tiempo Real de los procesos (para
monitoreo y/o control) generados por los sistemas digitales de monitoreo y control, sistemas instrumentados de
seguridad o sistemas digitales dedicados, que se establecen en el Anexo 12.7 de la presente norma de
referencia.
6.11 Disponibilidad. Garantiza que se tendr acceso, siempre y cuando sea autorizado, a los elementos de
la red, la informacin almacenada, los flujos de informacin, los servicios y las aplicaciones, debido a eventos
que afecten la red.
6.12 Encriptacin. Tcnica de seguridad de informacin en la cual se traducen los datos dentro de un
cdigo secreto de forma que son ininteligibles para quien no tenga la clave para su decodificacin.
6.13 Especificacin de transferencia de informacin de pozos (WITS). Formato de comunicaciones
usado para la transferencia de una amplia variedad de datos de pozos, de una computadora hacia otra.
6.14 Integracin y seguridad de datos de procesos industriales (ISDPI). Recoleccin, almacenamiento y
respaldo de los datos generados en los procesos de produccin, distribucin y almacenamiento de
hidrocarburos en tiempo real, para proporcionarles integridad, disponibilidad y confiabilidad; y llevar a cabo la
distribucin en lnea de los mismos, para el control y administracin de las operaciones de produccin de las
instalaciones; as como para la planeacin y toma de decisiones del negocio.
6.15 Integridad del dato. Proteccin del dato garantizando su exactitud o precisin contra modificaciones no
autorizadas, supresin, creacin y replicacin y provee un indicador de estas actividades no autorizadas.
6.16 Intercambio dinmico de datos. Transferencia de datos entre dos o ms programas de aplicacin
diferentes, siempre que estos programas cumplan con estndares del protocolo de Intercambio Dinmico de
Datos.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 10 DE 56
Rev: 0
ANTEPROY-
6.17 No-Repudiacin. Provee los medios para la prevencin de una accin en particular relacionada con los
datos y que una persona o entidad niegue haber ejecutado al poner a disposicin pruebas relacionadas con la
red (tales como pruebas de obligacin, intento o aceptacin, pruebas de orgenes de datos, de propiedad, de
uso de recursos).
6.18 Objetos vinculados e insertados (OLE). Estndar industrial que consiste de un grupo de interfaces
estndar, propiedades y mtodos, para su uso en control de procesos (OPC) y aplicaciones de automatizacin.
6.19 OPC (OLE for Process Control). Estndar basado en los requerimientos de las tecnologas
denominadas objetos vinculados e insertados (OLE), modelado de componentes de objetos (COM) y modelado
de componentes de objetos distribuidos (DCOM). Estas tecnologas facilitan el intercambio de datos en forma
estandarizada entre aplicaciones de control y automatizacin, entre dispositivos y sistemas de campo y entre
aplicaciones administrativas y de oficina.
6.20 Portal. Es un sitio web cuyo objetivo es ofrecer al usuario, de forma fcil e integrada, el acceso a una
serie de recursos y de servicios, entre los que se suelen encontrar buscadores, foros, documentos,
aplicaciones, compra electrnica, entre otros.
6.21 Privacidad. Protege de intrusiones, que podran derivar de actividades en la observacin de las redes.
6.22 Recuperacin de desastres. Se refiere a una recuperacin de desastre natural, un plan de
contingencia puede anticipar y responder al propsito del plan de recuperacin de desastres si es bastante
amplio el alcance.
6.23 Red administrativa. Es una red de rea local (LAN) independiente de la red industrial, utilizada para la
interconexin de computadoras, impresoras y perifricos que dan servicio a reas exclusivamente
administrativas.
6.24 Red de control. Es una red dedicada e independiente para la interconexin de dispositivos de control
(controladores).
6.25 Red de instrumentacin. Es una red dedicada e independiente para la interconexin de instrumentos,
tales como transmisores, entre otros.
6.26 Red industrial. Es una red dedicada (independiente de la red de control del sistema digital) para
intercomunicar dispositivos de uso industrial tales como el servidor historiador y las IHM y tpicamente est
basada en Ethernet y TCP/IP.
6.27 Rplica de datos. Se refiere a la distribucin de copias idnticas de datos crticos, de un servidor hacia
otros, de forma que las peticiones .de acceso a esos datos pueden distribuirse entre los diferentes servidores
que mantengan la rplica
6.28 Respaldo. Procedimiento empleado para la restauracin de datos en caso de falla o desastre. Los
datos se copian generalmente a un medio de almacenaje externo desprendible, que normalmente estn lejos
del sistema principal para su conservacin.
6.29 Seguridad en la comunicacin. Permite asegurar que la informacin fluya solo entre los puntos
autorizados (la informacin no debe ser desviada o interceptada entre estos puntos).
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 11 DE 56
Rev: 0
ANTEPROY-
6.30 Servidor integrador historiador. Equipo de cmputo que tiene las caractersticas tcnicas requeridas
paras soportar la integracin de datos y la historizacin de los mismos as como soportar los programas de los
diferentes niveles de integracin.
6.31 Virus. Programa de cmputo el cual es capaz de propagarse a s mismo modificando otros programas
para incluir una copia posiblemente cambiada de s mismo y que es ejecutado cuando el programa infectado es
invocado.
6.32 Vulnerabilidad. Una debilidad o error en el diseo, implementacin operacin y administracin de un
sistema que puede ser explotada para violar la integridad del sistema o las polticas de seguridad.
6.33 Zona Desmilitarizada. Una DMZ (del ingls Demilitarized Zone) o Zona Desmilitarizada es una red
local (una subred) que se ubica entre la red interna de una organizacin y una red externa. El objetivo de una
DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las
conexiones desde la DMZ slo se permitan a la red externa, los equipos en la DMZ no se pueden conectar con
la red interna.
7. SMBOLOS Y ABREVIATURAS
CDTI Centro de Datos Tcnicos e Industriales.
COM Component Object Model (Modelo de componentes de objetos).
DCOM Distributed Component Object Model (Modelado de componentes de objetos distribuidos).
DDE Dynamic Data Exchange (Intercambio dinmico de datos).
DMZ Demilitarized Zone (Zona desmilitarizada).
DNS Domain Name Server (Servidor de nombres de dominio).
ERP Enterprise Resource Planning (Planificacin de Recursos Empresariales).
EVDO Solucin tecnolgica para integracin de datos.
GIS Geographical Information System (Sistema de Informacin Geogrfica).
GSM/GPRS Global System Movil/General Package Radio Service (Comunicaciones mviles para sistemas
globales / servicio de radio empaquetado general).
HTML Hipertext Markup Languaje (Lenguaje de marcacin de hipertexto).
http Hipertext Transfer Protocol (Protocolo de transferencia de hipertexto).
IHM Human Machine Interface (Interfaz humano mquina).
ISDPI Integracin y Seguridad de Datos de Procesos Industriales.
KPI Grficos, tendencias e indicadores.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 12 DE 56
Rev: 0
ANTEPROY-
LAN Local rea Network (Red de rea Local).
MAN Metropolitan Area Network (Red de rea metropolitana).
OLE Object Linking Embeded (Objetos vinculados e insertados).
OPC Ole for Process Control (Objetos vinculados e insertados para el control de procesos)
PEMEX PEMEX y Organismos Subsidiarios.
PLC Programmable Logic Controler (Controlador lgico programable).
PRODML Formato de transferencia dinmica de datos.
RAM Random Access Memory (Memoria de acceso aleatorio).
RDBMS Relational Data Base Management System (Sistema Administrador de Bases de Datos
Relacionales).
RTPM Real time Platform Manage (Administracin de Plataforma de Tiempo real).
SCADA Supervisory Control And Data Adquisition (Control supervisorio y adquisicin de datos).
SCD Sistema de Control Distribuido.
SDMC Sistema Digital de Monitoreo y Control.
SIS Sistema Instrumentado de Seguridad.
TAG Etiqueta o marca de identificacin.
TCP/IP Transport Control Protocol/Internet Protocol (Protocolo de control de transporte protocolo de
Internet).
TI Tecnologa de Informacin.
TR Tiempo real.
UHF Ultra High Frecuency (Ultra alta frecuencia).
URL Uniform Resources Locator (Localizador Uniforme de Recursos).
VLAN Virtual Local rea Network (Red Virtual de rea Local)
VPN Virtual Private Network (Red Privada Virtual).
WAN Wide Area Network (Red de rea amplia).
WITSML Formato de transferencia dinmica de datos.
XML Extensible Markup Language (Lenguaje de marcacin extensible).
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 13 DE 56
Rev: 0
ANTEPROY-
8. DESARROLLO
8.1 Generalidades
8.1.1 La Integracin y Seguridad de Datos de Procesos Industriales es uno de los objetivos de la estrategia
que PEMEX lleva a cabo para lograr un manejo oportuno y confiable de los datos de procesos de Tiempo Real
TR derivados de la automatizacin integrada para el manejo de los hidrocarburos, misma que involucra a
todos los SDMC, que se establecen en el Anexo 12.7 de la presente norma de referencia; as como la
infraestructura de comunicaciones, la infraestructura de computo y los sistemas de informacin empresariales
de PEMEX, un ejemplo de estos ltimos es el sistema ADITEP, estrategia que permite mantener y proteger los
datos tcnicos.
8.1.2 En la etapa de inspeccin, durante la fabricacin de de los equipos para la integracin y seguridad de
datos de procesos industriales, se debe cumplir con el numeral 8.2.2 (Nivel II) de la NRF-049-PEMEX-2006. As
mismo, el suministro, instalacin, configuracin, pruebas y puesta en operacin de un SDMC de un proceso o
parte de l, el proveedor o contratista debe llevar a cabo la integracin de los datos de procesos industriales.
8.1.3 El proveedor o contratista, con base en los requerimientos que se establecen en esta norma de
referencia, debe proporcionar la proteccin y seguridad de los datos de TR de los procesos industriales de los
SDMC, a fin de evitar las amenazas relacionadas con las actividades humanas de carcter malicioso.
8.1.4 Para ello el proveedor o contratista debe identificar y analizar las vulnerabilidades de seguridad de
informacin en un SDMC implantando medidas, conforme a esta norma de referencia, para evitar los riesgos
asociados con el manejo e integracin de la misma.
8.1.5 El proveedor o contratista, con base en los requerimientos que se establecen en esta norma de
referencia, debe evitar el acceso de un intruso a cualquier red de PEMEX, donde se manejen datos de TR de
procesos industriales provenientes de un SDMC, a fin de evitar transmitir informacin errnea.
8.2 Integracin y Seguridad de Datos de Procesos Industriales (ISDPI)
El proveedor o contratista debe proporcionar, conforme a esta norma de referencia, los servicios para la
integracin y seguridad de datos de TR de procesos industriales provenientes de los SDMC en los niveles de
proceso, estacin, supervisin, evaluacin y planeacin y toma de decisiones, proporcionando la seguridad y la
confiabilidad en el acceso a datos de TR; as mismo, debe identificar y administrar las vulnerabilidades
inherentes en la composicin del equipo (hardware) y programas (software), arquitectura y configuracin, entre
la supervisin del recurso humano que controla y opera los sistemas y el medio ambiente en el que se opera.
8.2.1 Arquitectura del ISDPI
El proveedor o contratista debe presentar la arquitectura tecnolgica donde se muestren los niveles en los que
la recoleccin de datos de TR de proceso, la integracin de los mismos, su preservacin, su transferencia a los
sistemas de informacin y la seguridad de estos, se lleve a cabo de manera ordenada, facilitando la
identificacin y ubicacin de la infraestructura de equipo (hardware), programas (software) y comunicaciones
que se deben considerar para lograr el objetivo de la ISDPI.
8.2.1.1 La arquitectura tecnolgica de la automatizacin integrada de PEMEX, para lograr la estrategia de
automatizacin integrada desde la exploracin y produccin de hidrocarburos hasta la transformacin en
productos y subproductos derivados, debe cumplir con el Anexo 12.1 de esta norma de referencia.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 14 DE 56
Rev: 0
ANTEPROY-
8.2.1.2 Para la integracin y seguridad de datos de procesos industriales, el proveedor o contratista debe
cumplir con el flujo de informacin entre los diferentes niveles de cobertura de la pirmide de automatizacin,
que se indica en el Anexo 12.2 de esta norma de referencia.
8.2.2 Niveles de la arquitectura para la ISDPI. La arquitectura de ISDPI, se debe organizar en los siguientes
cinco niveles de automatizacin, los cuales deben cumplir con los niveles de la pirmide de automatizacin
indicada en el Anexo 12.2 de esta norma de referencia.
a) Nivel de proceso (Instrumentacin).
b) Nivel de estacin (Controladores de los SDMC).
c) Nivel de supervisin (Monitoreo y acciones de control en los SDMC).
d) Nivel de evaluacin y planeacin (Manejo de informacin).
e) Nivel toma de decisiones.
8.2.2.1 Se deben identificar los servicios y la infraestructura existente conforme a los niveles de cobertura
indicados en numeral anterior, y aprovechar la infraestructura existente de PEMEX.
8.2.2.2 La arquitectura debe estar organizada verticalmente iniciando en el nivel inferior (proceso) llegando
hasta al nivel superior (toma de decisiones), organizada horizontalmente con los diferentes tipos de SDMC que
tpicamente se emplean en los procesos industriales de PEMEX, conforme al Anexo 12.1 de esta norma de
referencia y al 11.1 de la P.2.0000.03.
8.2.2.3 As mismo conforme a esta arquitectura se debe identificar de acuerdo al nivel y al tipo de proceso
industrial, los componentes mnimos requeridos para la integracin de los datos de TR y la seguridad de los
mismos, se deben describir los aspectos generales en la seccin correspondiente a cada nivel y los detalles en
las hojas de especificacin al final de esta norma de referencia.
8.2.3 Soluciones y esquemas tecnolgicos para la seguridad de datos de TR de la arquitectura de la
ISDPI. Conforme a la arquitectura de ISDPI, los proveedores o contratistas deben emplear diferentes soluciones
y esquemas tecnolgicos para lograr la integracin segura de los datos del proceso para todos los niveles.
8.2.3.1 Los requisitos que los proveedores o contratistas deben cumplir, para proporcionar una conexin
segura para la integracin de datos de proceso son los siguientes:
a) Se debe contar con una segmentacin fsica y lgica entre las redes de datos (industrial y
administrativa), ejemplo; se deben separar la red industrial y la red administrativa, es decir; debe existir
una red industrial conformada por cableado fsico o inalmbrica para manejo de datos nica y
exclusivamente para los SDMC, redundante, separada e independiente (fsica y lgicamente) de la red
administrativa; de igual forma, para la red cableada se debe cumplir con la NRF-022-PEMEX-2008.
b) La segmentacin debe estar resguardada con un equipo que su nica funcin sea la de seguridad.
c) La red industrial debe estar conformada por equipos de comunicacin que cumplan con
especificaciones y certificaciones industriales (aplicable a los niveles de estacin y supervisin)
d) Se debe establecer una separacin del trfico en la WAN/MAN de acuerdo a la tecnologa de
telecomunicaciones existente o propuesta.
8.2.3.2 Las tecnologas que deben utilizar los proveedores o contratistas para transportar e integrar los datos
que provienen del nivel proceso y que se obtienen de un SDMC, deben estar en funcin de los requisitos
especficos del proyecto; dichas tecnologas (redes) para transportar y manejar los datos, deben ser
compatibles con las existentes en PEMEX, tales como:
a) Red cableada
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 15 DE 56
Rev: 0
ANTEPROY-
b) Red inalmbrica:
UHF.
Espectro disperso (Banda licenciada).
WIFI (802.x).
Red satelital.
Estas tecnologas (redes) de transporte de datos deben manejar modelos de encriptacin de datos para
llevarlos de una manera segura a los servidores integradores/historiadores.
8.2.3.3 Cuando los servicios o tecnologas (solucin tecnolgicas) para integracin de datos de proceso de
los sistemas industriales sean a travs de proveedores o contratistas, se debe cumplir con la disponibilidad y
confiabilidad del alcance del contrato conforme a los requerimientos especficos del rea usuaria de PEMEX; no
se debe contemplar el uso de las siguientes tecnologas: GSM, GPRS, EVDO, entre otras. La solucin
tecnolgica que se emplee debe cubrir las siguientes funcionalidades para la seguridad de los datos:
Controles de acceso.
Autenticacin.
No-Repudiacin.
Confiabilidad del dato.
Seguridad en la comunicacin.
Integridad del dato.
Disponibilidad.
Privacidad.
a) La seguridad en el control de acceso a usuarios debe proteger a las redes y equipos, contra el uso de
recursos no autorizados y asegurar que solo personal o dispositivos autorizados son permitidos a
acceder a los elementos de red, informacin almacenada, al flujo de la informacin, servicios y
aplicaciones autorizadas.
b) La seguridad en los sistemas de autenticacin debe servir para confirmar las identidades de las partes
que se estn comunicando. La autenticacin debe garantizar la validez de la identidad solicitada por las
entidades participantes en la comunicacin, (personas, dispositivos, servicios o aplicaciones)
garantizando que la entidad no est pretendiendo enmascarar o reproducir una comunicacin previa no
autorizada.
c) La seguridad en la no repudiacin en los datos debe proveer los medios para la prevencin de una
accin en particular relacionada con los datos y que una persona o entidad niegue haber ejecutado al
poner a disposicin pruebas relacionadas con la red (tales como pruebas de obligacin, intento o
aceptacin, pruebas de orgenes de datos, de propiedad, de uso de recursos). Debe asegurar la
disponibilidad de pruebas que se pueden presentar a un tercero y se debe utilizar para demostrar que
algn tipo de evento o accin ha tenido lugar.
d) La seguridad en la confiabilidad de los datos los debe proteger de una divulgacin no autorizada, y
asegurar que el contenido de los datos no pueda ser entendido por entidades que no estn autorizadas
para su acceso. La encriptacin, listas de control de acceso y permisos en archivos deben ser mtodos
utilizados para proveer confidencialidad a los datos.
e) La seguridad en las comunicaciones nos debe permitir asegurar que la informacin fluya solo entre los
puntos autorizados (la informacin no debe ser desviada o interceptada entre estos puntos).
f) La seguridad en la integridad de los datos debe garantizar su exactitud o precisin. El dato debe ser
protegido contra modificaciones no autorizadas, supresin, creacin y replicacin y debe proveer un
indicador de estas actividades no autorizadas.
g) La disponibilidad debe garantizar que no hay negacin en el acceso autorizado a los elementos de red,
a la informacin almacenada, al flujo de la informacin, servicios y aplicaciones a menos que exista un
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 16 DE 56
Rev: 0
ANTEPROY-
evento que impacte a la red, por lo que las soluciones de recuperacin de desastres deben ser parte de
la disponibilidad de la seguridad de la informacin.
La seguridad en la privacidad de la informacin debe protegerla de intrusiones que pueden derivar de
actividades en el monitoreo de las redes. Ejemplo de ellos son los sitios Web que el usuario a visitado,
localizaciones geogrficas e IP y nombres DNS de dispositivos dentro de la red.
8.2.4 Categorizacin de instalaciones. La identificacin del sitio o lugar donde la integracin y la seguridad
de los datos de procesos industriales se realiza por parte del proveedor o contratista, se debe llevar a cabo
conforme a la categorizacin y descripcin siguiente:
Instalaciones remotas.
Instalaciones centrales.
Instalaciones tripuladas.
Instalaciones no tripuladas.
Oficinas centrales nacionales / sede.
Oficinas administrativas regionales / regin.
Oficinas administrativas locales / activo (opcional).
a) Las instalaciones remotas, son aquellas que se localizan costa adentro o costa afuera (plataformas
marinas), planta, estacin, pozo, o rea industrial donde los datos de proceso de TR se generan y la
integracin de los mismos solo es posible a travs de una instalacin central la cual recolecta y
concentra el monitoreo y/o control de las instalaciones remotas.
b) Las instalaciones centrales, son aquellas instalaciones donde se concentra el monitoreo y control de
varios procesos industriales y la integracin de los datos de TR de procesos industriales se debe llevar
a cabo aprovechando la infraestructura de monitoreo y control de proceso existente en estas
instalaciones.
c) Las instalaciones tripuladas, son aquellas instalaciones donde se cuenta de manera permanente con
personal de operacin y/o mantenimiento para supervisar las condiciones operativas de la instalacin
misma y de otras instalaciones remotas a travs de SDMC.
d) Las instalaciones no tripuladas, son aquellas instalaciones que no cuentan con personal de operacin o
mantenimiento de manera permanente, por consiguiente la integracin de los datos de proceso de TR
tiene mayor relevancia al facilitar la supervisin de dichas instalaciones aprovechando los SDMC.
e) Las oficinas centrales nacionales / sede, es el rea de PEMEX donde se concentran los servicios de
recoleccin, preservacin, intercambio y publicacin de datos de procesos industriales a nivel nacional,
cuentan con sistemas empresariales administrativos y tcnicos de alcance nacional o externos a
PEMEX, es decir en las oficinas centrales nacionales se replican los datos de TR de procesos
industriales que se integran en las oficinas centrales regionales.
f) Las oficinas administrativas regionales / regin, son las reas de PEMEX donde se recolecta, preserva,
integra y publican los datos de procesos industriales de las instalaciones tripuladas y no tripuladas
pertenecientes geogrficamente a una de las regiones de PEMEX.
g) Las oficinas administrativas locales / activo, son las reas de PEMEX donde se integran y preservan los
datos de TR de proceso de las instalaciones industriales tripuladas y no tripuladas que pertenecen a
una Gerencia o Coordinacin
8.3 Integracin y seguridad de datos en el nivel de proceso. El proveedor o contratista debe llevar a
cabo las actividades de integracin y seguridad de datos de TR, de la instrumentacin de campo (elementos
primarios y finales de control) al siguiente nivel de la arquitectura cumpliendo los estndares de seguridad de
datos y con la NRF-105-PEMEX-2005
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 17 DE 56
Rev: 0
ANTEPROY-
8.3.1 Integracin de datos en el nivel de proceso. El proveedor o contratista debe llevar a cabo la
integracin de los datos de TR de procesos industriales desde la instrumentacin de campo existente hacia el
SDMC de la instalacin.
8.3.1.1 A excepcin del equipo de instrumentacin que se integra a un controlador, el proveedor o contratista
debe aplicar de forma particular los requisitos del nivel de estacin. Por consiguiente, para la integracin de
datos de proceso en este nivel se debe cumplir lo siguiente:
a) Se debe apegar a la normatividad aplicable a la instrumentacin de campo correspondiente al proceso
en cuestin.
b) Se deben Identificar los datos de proceso con el TAG asignado al instrumento conforme a la
especificacin P.2.0401.02.
c) Los datos de la variable medida y la variable controlada se deben llevar al nivel de estacin.
d) Los datos de las variables de proceso de la instrumentacin de campo que se utilicen para acciones de
control de proceso, se deben llevar al nivel de estacin para la integracin de estos datos conforme a la
arquitectura de ISDPI.
8.3.2 Seguridad de datos en el nivel de Proceso. Los mtodos de seguridad deben ser en base a los
protocolos definidos en la NRF-046-PEMEX-2003, los proveedores o contratistas deben cumplir lo siguiente:
a) No se deben realizar conexiones a internet o directas a una red administrativa desde la red del nivel de
proceso y viceversa.
b) Se deben restringir los accesos en la red del nivel de proceso mediante claves de acceso (password).
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no autorizados,
interferencias y/o daos, se deben utilizar esquemas y medios de seguridad establecidos por Organismos
Internacionales de Normalizacin y fabricantes de este tipo de redes y sistemas
8.3.3 Especificaciones tcnicas en el nivel de proceso. Deben ser las correspondientes a la
instrumentacin de campo.
8.3.4 Protocolos de comunicacin en el nivel de proceso. Para la integracin de datos de TR de la
instrumentacin de campo hacia los SDMC ubicados en las instalaciones industriales, los proveedores o
contratistas deben emplear los protocolos de comunicacin que cumplan con las funcionalidades que se
establecen en la NRF-046-PEMEX-2003
8.4 Integracin y seguridad de datos en el nivel de estacin. Las actividades para la integracin y la
seguridad de los datos de TR del monitoreo y/o control del proceso, de los datos de TR en el nivel de estacin
deben asegurar que los datos de TR se lleven a travs de la red Industrial, al nivel de supervisin de la
arquitectura ISDPI, cumpliendo los estndares de seguridad de los datos; adicionalmente se debe cumplir con
los siguientes requisitos:
a) Proveer datos de TR hacia el nivel supervisin.
b) La identificacin de los datos de TR de proceso requeridos para su integracin, se debe asignar de
acuerdo al tipo de variable, conforme al Anexo 12.3 de esta norma de referencia.
c) Se debe elaborar una memoria tcnica listando los TAGs asignados a cada dato incluyendo como
mnimo: nombre del TAG, ubicacin fsica del instrumento, descripcin de la variable, unidades de
ingeniera, protocolo de comunicacin utilizado, puertos de comunicacin empleados, puertos de
comunicacin disponibles, valores: mnimo, mximo, punto de ajuste o referencia de la variable medida
para considerarse valor anormal.
d) El SDMC debe tener la capacidad de almacenar los datos de TR de proceso (identificacin) mnimo
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 18 DE 56
Rev: 0
ANTEPROY-
durante tres meses, es decir el SDMC debe tener capacidad de almacenar los datos histricos
aplicando la tecnologa necesaria (software y/o hardware) en la IHM o en el servidor historiador, sin que
esto afecte el desempeo del SDMC.
8.4.1 Integracin de datos en el nivel de estacin. En este nivel los proveedores o contratistas deben
recolectar los datos de TR de proceso, aprovechando la infraestructura de equipo (hardware), programas
(software) y comunicaciones asociadas a los SDMC de procesos existentes o futuros para la integracin de los
datos de TR de proceso al nivel de supervisin conforme a lo siguiente:
a) Se debe elaborar el inventario de los componentes de equipo (hardware), programas (software),
seguridad y comunicaciones de los SDMC incluyendo como mnimo, las caractersticas del controlador,
los servidores, las IHM, los equipos de comunicaciones y las caractersticas de los programas
(software) instalados en cada uno de estos.
b) Para integrar los datos de TR de proceso hacia el nivel de supervisin, se debe identificar en que
equipo del SDMC se guardan los registros de las variables medidas y/o controladas, comnmente
llamados TAG. En la mayora de los casos estos datos se almacenan en el disco duro de la IHM o en
el disco duro del servidor de datos histricos.
c) Se debe habilitar la conectividad a la red industrial especficamente para el equipo que almacena las
variables de proceso conforme a las indicaciones de seguridad de datos del nivel de estacin para su
integracin al nivel de supervisin.
d) En el equipo donde se almacenan las variables de proceso se debe instalar la interfaz para el
intercambio dinmico de datos adecuada a las caractersticas del SDMC (programas (software) y
equipo (hardware) del IHM o del servidor historiador), de acuerdo a lo siguiente:
Para el caso en que el SDMC cuente con un servidor historiador y una IHM, se debe instalar la
interfaz en el servidor historiador.
Para el caso de que el SDMC no cuente con servidor historiador, la interfaz se debe instalar en el
IHM del operador.
Si el IHM del operador no cuenta con capacidad suficiente para soportar la interfaz a instalar, se
debe suministrar una IHM o un servidor que replique los datos de la IHM del operador y en esta se
debe instalar la interfaz o se debe reemplazar el IHM del operador por una de mayor capacidad,
dejando la misma con la configuracin de programa (software) original.
e) Las caractersticas de la Interfaz para el intercambio dinmico de datos deben ser conforme a lo
siguiente:
La interfaz para intercambio dinmico de datos se debe instalar en el equipo donde residen los
datos de TR de proceso.
La interfaz para intercambio dinmico de datos debe tener la capacidad de almacenar
temporalmente los datos (Buffer) en caso de falla de las comunicaciones en la red industrial y
cuando la comunicacin se restablezca el servidor integrador historiador a nivel de red
administrativa debe reconstruir los datos que no fueron enviados durante la interrupcin.
La IHM (consola del operador) o el servidor debe tener capacidad de almacenamiento en disco
duro para que los datos recolectados por la interfaz para intercambio dinmico de datos sean
preservados por al menos tres meses, en caso de falla de las comunicaciones, considerando esta
capacidad de almacenamiento independiente de la requerida para la operacin del propio IHM.
Los formatos de transferencia dinmica de datos que se permiten deben ser WITSML, PRODML,
OPC y/o series de tiempo, de acuerdo con la aplicacin y conforme con la NRF-046-PEMEX-2003.
8.4.2 Seguridad de datos en el nivel de estacin. La red de datos que se ubica en este nivel debe ser la
red de control, los mtodos de seguridad que deben cumplir los proveedores o contratistas deben ser en base a
los protocolos definidos en la NRF-046-PEMEX-2003. Cuando la red de control se interconecte con la red
industrial (Ethernet industrial), derivado de las diferentes tecnologas de automatizacin que se deben implantar,
el proveedor o contratista debe de analizar si es para proceso (control y/o monitoreo) o de un SIS. Los
proveedores o contratistas deben cumplir con lo siguiente:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 19 DE 56
Rev: 0
ANTEPROY-
a) Bajo ninguna circunstancia en cualquiera de los casos anteriores, se debe establecer una conexin
directa hacia la red administrativa, a partir del nivel de evaluacin y planeacin. El proveedor o
contratista debe cumplir con lo siguiente:
No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del
nivel estacin; y viceversa.
Se deben de restringir los accesos en la red del nivel estacin.
Solo se debe autorizar el acceso a los equipos que operen como integradores/historiadores.
Los sistemas que requieran de acceso remoto en la red del nivel estacin, deben tener un mtodo
de seguridad aprobado por PEMEX.
Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no
autorizados, interferencias y/o daos, deben utilizar esquemas y medios de seguridad establecidos
por Organismos Internacionales de Normalizacin y fabricantes de este tipo de redes y sistemas.
Solo se permite trfico de los protocolos definidos en la NRF-046-PEMEX-2003 y los que PEMEX
apruebe.
Se deben emplear mecanismos para el monitoreo, respaldos, recuperacin de desastres y
controles de actualizaciones en la infraestructura de computo y de comunicaciones, as como de
los datos de proceso.
b) En el caso de los computadores de flujo, la integracin de sus variables se deber dar, como primera
opcin a travs del SDMC, de no existir este sistema, se debe de instalar en el cuarto de control un
equipo de interfaz para la integracin de variables que posteriormente se deben enviar al servidor
integrador en la red industrial.
c) Es responsabilidad del personal de la plataforma de tiempo real de PEMEX el dar soporte y servicio a la
infraestructura de cmputo, comunicaciones y seguridad, en este nivel.
8.4.2.1 Control del proceso. Debe existir redundancia en las telecomunicaciones del proceso, lo cual nos
proporciona disponibilidad y confiabilidad de cualquier accin que se tome en la operacin de los sistemas,
conforme a numeral 8.4.2.2.2 de la NRF-046-PEMEX-2003, los proveedores o contratistas deben cumplir con lo
siguiente:
a) El equipo interfaz para el intercambio dinmico de datos de TR, debe ser el nico contacto hacia la red
industrial, el cual debe ser protegido con un equipo de seguridad adicional (fsico o lgico) hacia las
redes de datos superiores.
8.4.2.2 Monitoreo del proceso. Se debe contar con una segmentacin fsica y lgica en la cual se ha
destinado un direccionamiento IP, que se describe en el Anexo 12.8.6 de esta norma de referencia. Los
proveedores o contratistas deben cumplir con lo siguiente:
8.4.2.2.1 Para la integracin de las variables de proceso a travs de la red Industrial, se debe instalar en el
servidor historiador la interfaz que enve dichos datos al nivel de supervisin, de no contar con dicho servidor se
debe adquirir un equipo adicional para la instalacin de la interfaz.
8.4.2.2.2 El equipo que tenga la interfaz debe ser el nico contacto hacia la red del nivel de estacin, la cual
debe ser resguardada con un equipo de seguridad.
8.4.2.2.3 Se debe proponer, la solucin tecnolgica en la arquitectura de red que permita un escalamiento,
para un posterior requerimiento de control.
8.4.2.3 Sistemas instrumentados de seguridad. Para los procesos crticos, las redes de comunicaciones
de los SIS deben cumplir con lo siguiente:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 20 DE 56
Rev: 0
ANTEPROY-
a) Deben de contar con redundancia en las telecomunicaciones donde el trfico sea exclusivamente del
proceso, lo cual proporciona la disponibilidad y confiabilidad de cualquier accin que se tome en la
operacin de los sistemas instrumentados de seguridad, de acuerdo a la NRF-046-PEMEX-2003 en su
numeral 8.4.2.2.2.
b) Se debe contar con una segmentacin fsica y lgica tanto del proceso como de la red administrativa
para la cual se ha destinado un direccionamiento IP, conforme el Anexo 12.8 de esta norma de
referencia.
c) Para la integracin de las variables se debe instalar en el servidor integrador/historiador la interfaz que
enve los datos al nivel de supervisin, de no contar con dicho servidor se debe adquirir un equipo
adicional para la instalacin de la interfaz. As mismo, se debe instalar una tarjeta de red adicional en el
SIS (nivel de estacin) para establecer la conexin hacia el siguiente nivel de supervisin a travs de la
red industrial.
d) El equipo que tenga la interfaz debe ser el nico contacto hacia la red del nivel de estacin, la cual debe
ser resguardada con un equipo de seguridad.
8.4.3 Especificaciones tcnicas en el nivel de estacin. Los proveedores o contratistas deben
seleccionar las especificaciones tcnicas de la infraestructura de cmputo y comunicaciones en el nivel de
estacin conforme a la hoja de datos tcnicos que se definen en el 12.6 de esta norma de referencia.
8.4.4 Protocolos de comunicacin en el nivel de estacin. Para la integracin de datos de TR en este
nivel se requiere de interfaces para el intercambio dinmico de datos para llevar a cabo la transferencia de
datos desde el nivel de estacin al nivel de supervisin, para lo cual los proveedores o contratistas deben
utilizar arquitectura abierta y estndares de la industria. Las interfaces permitidas en este nivel deben ser OPC,
WITSML y cumplir con el numeral 8.2.3 de la NRF-046-PEMEX-2003.
8.5 Integracin y seguridad de datos en el nivel de supervisin. En este nivel se deben integrar,
almacenar y distribuir los datos de TR de proceso, los proveedores o contratistas deben cumplir con:
a) Proveer datos hacia el nivel de planeacin y anlisis conforme al Anexo 12.5 de esta norma de
referencia.
b) Proveer datos de TR de proceso, en este nivel, para propsitos de administracin del activo, planeacin
estratgica para el desarrollo y explotacin de los yacimientos, elaborar y ejecutar los programas de
operacin de pozos, vigilar y mantener el estado ptimo de las instalaciones, optimizacin (fuera de
lnea/en lnea y en tiempo real) de los procesos a travs de herramientas de anlisis y simulacin y
procesamiento estadstico para determinar la calidad de los productos y el desempeo de la produccin.
c) Considerar la posibilidad de tener ms de un caso de integracin de datos:
Caso de integracin de Instalaciones administrativas de sector (monitoreo y control remoto).
Caso de integracin de Instalaciones administrativas de activo (monitoreo y control remoto).
d) La eleccin de un caso o sus combinaciones debe depender de la infraestructura de cmputo y
comunicacin disponible, para el requerimiento en particular de las soluciones de integracin de datos
hacia las instalaciones administrativas regionales y las de sede; en estos ltimos se debe considerar la
replicacin de datos.
e) Se deben integrar los datos de proceso generados en las diferentes instalaciones centrales terrestres o
marinas, que pueden pertenecer a un sector de un activo, a un activo o a varios activos (integracin a
nivel regional en un solo centro), utilizando el mnimo de infraestructura de integracin en las
instalaciones administrativas, por lo que se debe considerar la integracin de informacin en un solo
centro de integracin, con la finalidad de reducir costos de inversin, operacin y mantenimiento.
f) La viabilidad de cumplir con dicha poltica, debe depender de la localizacin geogrfica de las
instalaciones administrativas de cada sector, las del activo y las de la regin, as como de la
disponibilidad y capacidad de la infraestructura de comunicaciones, para la rplica de datos entre las
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 21 DE 56
Rev: 0
ANTEPROY-
mismas; por lo que a continuacin en primer lugar se establecen las funciones de este nivel y
posteriormente los casos de integracin que se pueden tener en instalaciones administrativas.
8.5.1 Integracin de datos en el nivel de supervisin. En el nivel de supervisin la integracin de los
datos de proceso se deben encontrar en los servidores integradores historiadores de tiempo real, los cuales se
deben encargar de recibir los datos enviados por las interfaces de intercambio dinmico de datos, previamente
instaladas en las IHM (consola del operador) en el servidor historiador propio del SDMC.
a) El servidor integrador historiador debe integrar los datos de proceso de diversos sistemas digitales de
monitoreo y control, consolidando una sola base de datos en tiempo real de mltiples y diversos
procesos. Y debe historiar o preservar estos datos, para analizar los datos con respecto al tiempo, al
contar con la facilidad de utilizar los datos histricos de algn proceso o procesos.
b) La integracin de datos en el nivel de supervisin se debe basar en los servidores integradores
historiadores, siendo estos servidores el principal componente para alcanzar la integracin de los datos
de proceso en tiempo real de los SDMC.
c) Los servidores integradores historiadores, debe ser infraestructura de computo independiente de el
SDMC para historiar sus propios datos como parte del monitoreo y control de proceso. Por lo anterior, el
servidor integrador historiador se debe considerar como prioridad, el aprovechamiento de los recursos
de infraestructura existentes, tales como la plataforma de tiempo real vigente de PEMEX, Organismo
subsidiario, regiones, activos, o reas de PEMEX.
d) Conforme a la arquitectura de ISDPI los servidores integradores historiadores, se deben ubicar
fsicamente en los centros de datos tcnicos e industriales (SITE de computo industrial) adyacentes a
los centros de monitoreo y control centralizado, a las salas de visualizacin, salas de monitoreo
centralizado, centros de operaciones integradas los centros de atencin de emergencias.
e) Los servidores integradores historiadores del nivel de supervisin geogrficamente deben cumplir dos
funciones, la primera es integrar e historiar los datos de las instalaciones remotas y centrales tanto
tripuladas como no tripuladas, la segunda funcin es proveer datos de tiempo real a nivel oficinas
administrativas locales /activo o sector y a las oficinas administrativas regionales / regin.
8.5.1.1 Oficinas administrativas locales / activo o sector
a) Su objetivo debe ser el almacenamiento de datos de procesos industriales a nivel activo o sector,
nicamente se guardaran y explotaran datos de las instalaciones del propio activo o sector.
b) En caso de existir servidores integrador historiador a nivel de complejo, plataforma o instalacin, el
servidor historiador integrador del activo o sector deber almacenar o replicar los datos de procesos
industriales a su servidor para tener acceso a los datos.
c) Debe proporcionar datos de procesos industriales al servidor regional.
d) Este nivel de integracin corresponde a los datos generados en las instalaciones centrales a su cargo, y
de las cuales los proveedores o contratistas deben seleccionar los datos de procesos industriales, as
como integrar y enviar hacia el servidor integrador historiador regional.
8.5.1.2 Oficinas administrativas regionales / regin
a) El objetivo del servidor integrador historiador en oficinas administrativas regionales debe ser el
almacenamiento de datos de procesos industriales provenientes del nivel de supervisin, en caso de
existir servidores integradores historiadores en activos, campos o complejos se tiene la posibilidad de
replicar datos de procesos industriales a su servidor.
b) Cuando las oficinas administrativas regionales se localicen geogrficamente en el mismo lugar que las
oficinas del activo, se deben integrar los datos de proceso de las diferentes instalaciones, sectores y/o
activos, segn sea el caso, en un solo centro de integracin.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 22 DE 56
Rev: 0
ANTEPROY-
c) Debe permitir acceso a portal de tiempo real con la finalidad de consultar la informacin y clculos que
residan en este servidor para el nivel regional, segn se fijen las polticas de seguridad y acceso a la
informacin.
d) Debe Proporcionar datos al servidor integrador historiador de oficinas centrales.
e) Se debe considerar la integracin de datos a nivel regin, cuando se cumplan las siguientes
condiciones:
Que una regin administre ms de una instalacin.
Cuando la localizacin geogrfica de las diferentes instalaciones sea distante, y no se disponga de
infraestructura de telecomunicaciones con la capacidad y disponibilidad apropiada para la rplica datos.
8.5.2 Seguridad de datos en el nivel de supervisin. En este nivel debe operar la red industrial y es donde
se ubica un gran nmero de componentes y servicios de tecnologa de informacin (TI) (como son servidores,
equipos de comunicacin, equipo de cmputo personal, sistemas, aplicaciones, entre otros.) con protocolos
ms expuestos a ataques y violaciones (TCP/IP), por lo que los proveedores o contratistas deben de considerar
lo siguiente:
a) No se deben realizar conexiones a Internet o directas a una red administrativa desde la red del nivel de
supervisin; y viceversa.
b) Se deben de restringir los accesos en la red del nivel de supervisin.
c) Solo debe ser autorizado el acceso a los equipos que funjan como integradores/historiadores.
d) Los sistemas que requieran de acceso remoto en la red del nivel de supervisin, deben contar con un
mtodo de seguridad estricto y aprobado por PEMEX.
e) Las redes y sistemas inalmbricos deben estar protegidos contra intervenciones o monitoreo no
autorizados, interferencias y/o daos, utilizando esquemas y medios de seguridad establecidos por
organismos internacionales de normalizacin y fabricantes de este tipo de redes y sistemas.
f) Solo se debe permitir trfico de los protocolos definidos en la NRF-046-PEMEX-2003 y los que PEMEX
apruebe.
g) Se deben emplear mecanismos para el monitoreo, respaldos, recuperacin de desastres y controles de
actualizaciones en la infraestructura de computo y de comunicaciones, as como de los datos de
proceso.
8.5.2.1 Se debe contar con una segmentacin fsica y lgica en la cual se ha destinado un direccionamiento
IP, que viene descrito en el Anexo 12.8 de esta norma de referencia. Esto aplica para aquellos equipos que son
parte directa del proceso, como son las IHM, impresoras de reportes y los servidores integradores/historiadores
de los sistemas de monitoreo y/o control, los cuales deben cumplir con las regulaciones descritas en el Anexo
12.6 de esta norma de referencia.
8.5.2.2 En aquellos niveles de supervisin en donde se requiere contar con acceso a servicios de uso comn
como son el correo electrnico, SAP, aplicaciones de uso administrativo, entre otros. Deben estar conectados
fsicamente en una red independiente de la industrial, como se describe en el Anexo 12.8 de esta norma de
referencia.
8.5.2.3 El equipo que tenga la interfaz ser el nico contacto hacia la red del nivel de evaluacin y planeacin,
la cual debe ser resguardada con un equipo de seguridad.
8.5.2.4 Debe ser responsabilidad del personal de la plataforma de tiempo real de PEMEX el dar soporte y
servicio a la infraestructura de cmputo, programas (software), comunicaciones y seguridad, en este nivel.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 23 DE 56
Rev: 0
ANTEPROY-
8.5.3 Especificaciones tcnicas en el nivel de supervisin. Las especificaciones tcnicas de la
infraestructura de cmputo y comunicaciones en el nivel de supervisin se deben seleccionar conforme a la
hoja de datos tcnicos que se definen en el 12.6 de esta norma de referencia.
8.5.4 Protocolos de comunicacin en el nivel de supervisin. En este nivel se requiere de interfaces para
el intercambio dinmico de datos para llevar a cabo la transferencia de datos desde el nivel de supervisin al
nivel de evaluacin y anlisis, para lo cual se deben utilizar interfaces de arquitectura abierta y estndares de la
industria. Las interfaces permitidas en este nivel deben ser los definidos en el numeral 8.2.3 de la norma de
referencia NRF-046-PEMEX-2003.
8.6 Integracin y seguridad de datos en el nivel de evaluacin y planeacin. El nivel de evaluacin y
planeacin es el que permite la interconexin y comunicacin de datos de procesos industriales entre el nivel de
supervisin y el siguiente nivel de toma de decisiones. En este nivel los proveedores o contratistas deben llevar
a cabo la integracin e historizacin de los datos de tiempo real que viene del nivel de supervisin.
a) Los datos integrados e historiados se deben almacenar en bases de datos, la cual debe proveer datos a
las reas de planeacin, coordinaciones tcnicas, optimizacin de procesos, atencin de emergencias,
de simulacin, entre otros. As mismo, en este nivel, ser el nico punto donde se establecern los
mecanismos de interconexin para el intercambio de datos entre el Corporativo y Organismos
Subsidiarios y proveedores o contratistas. Siempre respetando la confidencialidad de la informacin.
8.6.1 Integracin de datos en el nivel de evaluacin y planeacin. En el nivel de evaluacin y planeacin
el proveedor o contratista debe llevar a cabo la integracin de ms de un sitio industrial ubicado en el nivel de
supervisin, las cuales se definen bsicamente como:
Integracin desde salas de visualizacin y monitoreo centralizado.
Integracin desde centros de monitoreo y control centralizado.
8.6.1.1 De acuerdo a la arquitectura (Anexo 12.1), se muestra que debe existir un solo centro de datos
industriales, a nivel nacional, y es donde se debe encontrar ubicada la plataforma de tiempo real, donde se
deben consolidar todos los datos de procesos que provendrn de los diferentes centros de monitoreo y control
de proceso.
8.6.1.2 La viabilidad de cumplir con dicha poltica, debe depender de la localizacin geogrfica, as como de
la disponibilidad y capacidad de la infraestructura de equipo (hardware), programa (software) y comunicaciones,
para la rplica de datos.
8.6.1.3 Las funciones de la plataforma de tiempo real de PEMEX deben cumplir con:
a) Debe existir un solo centro de datos industriales, el cual debe albergar la plataforma de tiempo real de
PEMEX.
b) La funcin de la plataforma de tiempo real debe ser la de recolectar, integrar e historiar datos de
procesos industriales de tiempo real provenientes del nivel de supervisin.
c) El centro de datos industriales debe ser el nico punto que proporcionar datos de procesos industriales
al nivel de toma de decisiones.
d) As mismo, debe ser el nico punto que proporcione datos de procesos industriales con otras entidades,
tales como: corporativo y organismos subsidiarios y proveedores o contratistas, debe ser a travs de la
plataforma de tiempo real.
e) El intercambio de datos de procesos industriales a otras entidades, debe ser a travs de los siguientes
mecanismos:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 24 DE 56
Rev: 0
ANTEPROY-
Interfaces proporcionadas entre los servidores de integracin e historizacin.
Sincronizacin entre RDBMS.
El desarrollo de servicios Web que permitan el acceso / recepcin de datos entre los servidores
de integracin, sistemas empresariales y/o aplicaciones administrativas y tcnicas.
f) La integracin de datos de procesos industriales de los niveles de supervisin, debe ser a travs de los
siguientes mecanismos:
Interfaces proporcionadas entre los servidores de integracin e historizacin de la plataforma de
tiempo real vigente: Series de tiempo, PRODML, WITSML y OPC
g) El intercambio o replica de datos de procesos industriales entre los centros de monitoreo y control as
como de las salas de visualizacin debe ser a travs de la plataforma de tiempo real.
h) La plataforma de tiempo real debe mantener un esquema de alta disponibilidad de los servidores de
integracin e historizacin.
i) Se deben emplear metodologas y tecnologas para la alta disponibilidad de la informacin,
recuperacin de desastres, monitoreo de la infraestructura de cmputo, comunicaciones y seguridad
que permitan analizar, prevenir y resolver eventos que afecten la operacin de estos.
j) En el caso de que alguna instalacin en particular, en el nivel de supervisin, ya cuente con servidor
integrador historiador y dispositivos de almacenamiento masivos de informacin; se debe considerar el
uso de dicha infraestructura, y no se deben suministrar estos componentes, a excepcin de que se
justifique la necesidad de incorporar alguno de ellos como un complemento, para proporcionar la
capacidad requerida que se demande en particular.
k) El acceso a la informacin debe ser por medio de la infraestructura de aplicaciones empresariales.
Donde se deben consultar los datos de procesos industriales, provenientes del nivel de supervisin, y
clculos, segn se fijen las polticas de seguridad y acceso a la informacin.
8.6.1.4 Infraestructura tecnolgica. Para llevar a cabo la integracin e historizacin de datos de
procesos industriales, el proveedor o contratista debe cumplir con los siguientes requerimientos:
a) Integracin e historizacin. El servidor integrador historiador, debe tener como funcin principal, llevar
a cabo la integracin e historizacin de todos aquellos datos de procesos, del nivel de supervisin, que
puedan ser de utilidad para reas de planeacin, coordinaciones tcnicas, optimizacin de procesos,
atencin de emergencias, de simulacin, entre otros y en el nivel de toma de decisiones, para lo cual, el
servidor integrador historiador debe cumplir con las siguientes caractersticas bsicas:
Soportar mltiples protocolos e interfaces de intercambio dinmico de datos, estandarizados y de
arquitectura abierta.
Tener una estructura estandarizada para el manejo y transferencia de datos de tiempo real.
Tener una base de datos especializada del tipo series de tiempo o RDBMS Industrial, para el
manejo de datos de tiempo real.
Tener la capacidad de manejo de grandes volmenes de datos de tiempo real en un solo servidor.
Tener la capacidad para el almacenamiento masivo interno y externo, de los datos.
Utilizar el concepto de integracin basado en el modelo cliente/servidor distribuido.
b) En este nivel de evaluacin y planeacin, se requiere de interfaces de intercambio dinmico de datos
para llevar a cabo la transferencia de datos de procesos industriales recibidos del nivel supervisin,
para lo cual el proveedor o contratista debe utilizar interfaces de arquitectura abierta y estndares de la
industria. Las interfaces permitidas son las que se relacionan a continuacin:
Interfaces de la plataforma de tiempo real vigente
o OPC
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 25 DE 56
Rev: 0
ANTEPROY-
o SERIES DE TIEMPO
o WITSML
o PRODML
o RDBMS
o XML
8.6.1.5 Servidores de aplicaciones avanzadas / optimizacin / simulacin. Deben ser las aplicaciones
orientadas a la industria petrolera que permiten procesar/manejar los datos integrados de los procesos
industriales, analizar la informacin, generar y evaluar modelos o escenarios, contar con elementos para la
optimizacin de procesos, realizar balances de materias, evaluacin de pozos, bases de datos tcnicas, entre
otros.
8.6.1.6 Fuentes de datos. Los datos integrados e historiados deben ser almacenados en una base de datos
industriales para su procesamiento y explotacin de los mismos, adems estos datos deben ser compartidos
con otras aplicaciones de cada Organismo Subsidiario y/ de PEMEX.
8.6.1.7 Aplicaciones tcnicas y servicios. Los datos de procesos industriales integrados e historiados en
este nivel deben ser visualizados mediante un portal operativo, colaborativo industrial y/o de inteligencia de
negocio, en donde se deben incluir grficos y/o tendencias y/o indicadores KPI y/o video de proceso y/o fichas
de datos tcnicos y/o vinculados con sistemas de informacin geogrfica (GIS), as mismo, uno de los
mecanismos de comparticin de datos con el nivel de toma de decisiones o con alguna entidad externa deben
ser servicios web (WebServices) a travs de accesos controlados
8.6.1.8 Seguridad y monitoreo de la infraestructura. Debe ser la infraestructura necesaria que permite
garantizar la seguridad y disponibilidad de los servicios de la plataforma de tiempo real.
8.6.2 Seguridad de datos en el nivel de evaluacin y planeacin. En este nivel, la infraestructura de
cmputo, comunicaciones y seguridad debe ser completamente administrada por el personal responsable de la
plataforma de tiempo real de los organismos subsidiarios. Los proveedores o contratistas deben cubrir las
funcionalidades de seguridad descritas en el numeral 8.2 de esta norma de referencia, as mismo con:
a) Se debe resguardar el centro de datos tcnicos e industriales (CDTI) con una DMZ. El cual por
seguridad debe ser el nico proveedor de informacin al nivel de toma de decisiones.
b) Se deben emplear metodologas y tecnologas para la alta disponibilidad de la informacin,
recuperacin de desastres, monitoreo de la infraestructura de cmputo, comunicaciones y seguridad
que permitan analizar, prevenir y resolver eventos que afecten la operacin de estos.
c) Las metodologas y tecnologas deben de ser aprobadas por el personal responsable de la plataforma
de tiempo real de PEMEX y Organismos Subsidiarios.
8.6.3 Especificaciones tcnicas en el nivel de evaluacin y planeacin. Las especificaciones tcnicas de
la infraestructura de cmputo y comunicaciones en el nivel de evaluacin y planeacin se deben seleccionar
conforme a la hoja de especificaciones que se definen en el 12.6 de esta norma de referencia.
8.6.4 Protocolos de comunicacin en el nivel de evaluacin y planeacin. Se requiere de protocolos de
comunicacin como medio para intercomunicarse en este nivel y con los niveles de supervisin y toma de
decisiones. El protocolo permitido para este nivel es: TCP/IP.
8.7 Integracin y seguridad de datos en el nivel de toma de decisiones. En el nivel de toma de
decisiones se debe llevar a cabo la interconexin y comunicacin de datos del proceso desde los niveles de
evaluacin y planeacin. En este nivel el proveedor o contratista debe presentar los datos de tiempo real
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 26 DE 56
Rev: 0
ANTEPROY-
transformados en informacin / conocimiento, se debe proveer en este nivel, a las reas ejecutivas y sustantivas
del negocio, encargadas de las actividades principales de la administracin, produccin, mantenimiento,
distribucin y venta, perforacin y exploracin.
a) La presentacin de la informacin de datos de tiempo real de procesos industriales se debe proveer a
travs de la plataforma empresarial (RTPM), as como de interfaces aprobadas y certificadas con los
sistemas empresariales ERP y DATOS TECNICOS, o alguna otra aplicacin empresarial, cumpliendo
con la estructura que se indica en el Anexo 12.3 de esta norma de referencia.
8.7.1 Integracin de datos en el nivel de toma de decisiones. En este nivel, los datos integrados e
historiados en el nivel de evaluacin y planeacin se deben utilizar para alimentarse y transferirse a los
sistemas empresariales tales como el ERP, o algn otro sistema empresarial. Estos datos sern los que se
requieran en este nivel para la toma de decisiones.
a) La presentacin de estos datos se debe realizar a travs de herramientas propias de la plataforma de
tiempo real existente, as como con interfaces certificadas para sistemas empresariales, corporativos,
tales como, ERPs, BDI, entre otros.
b) En este nivel, el mecanismo de intercambio de informacin debe ser por medio de las interfaces que el
servidor de integracin cuente, as como para RDBMS, o en caso de no contar con ninguna interfaz, se
debe utilizar el desarrollo de servicios Web que permitan el intercambio de datos XML.
8.7.2 Seguridad de datos en el nivel de toma de decisiones. Siendo este un nivel administrativo donde las
redes son administrativas, la seguridad debe estar sujeta a las polticas y lineamientos de las reas de
Tecnologa de Informacin as como de las de telecomunicaciones.
8.7.3 Especificaciones tcnicas en el nivel de toma de decisiones. Las especificaciones tcnicas de la
infraestructura de cmputo y comunicaciones en el nivel de evaluacin y planeacin se deben seleccionar
conforme a la hoja de datos tcnicos que se definen en el Anexo 12.6 de esta norma de referencia.
8.7.4 Protocolos de comunicacin en el nivel de toma de decisiones. Se requiere de protocolos de
comunicacin para intercomunicarse en este nivel y el de supervisin. El protocolo permitido para este nivel es:
TCP/IP.
8.8 Manejo de informacin en tiempo real. Los proveedores o contratistas deben cumplir con lo siguiente:
8.8.1 La adquisicin e historizacin de datos son los objetivos principales de la plataforma de tiempo real, y
que son de gran ayuda para el monitoreo de los procesos industriales. Por lo cual, se debe garantizar la
confiabilidad, exactitud y el acceso fcil a la informacin mientras se est midiendo.
8.8.2 El proceso de adquisicin de datos no solamente consiste en contar con la infraestructura necesaria
para recopilar las mediciones de los diferentes sistemas de una forma oportuna. El valor de los datos
recopilados de los procesos industriales toma mayor relevancia, para cada uno de los niveles de la pirmide de
automatizacin, cuando se convierten en informacin y/o conocimiento til y que esto permita mejorar y
desarrollar los activos de la organizacin.
8.8.3 La informacin y/o conocimiento generado permite a los diferentes clientes, disciplinas, procesos de
negocio, a contar con una visin ms completa, de una forma oportuna, para la toma de mejores decisiones con
el menor riesgo.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 27 DE 56
Rev: 0
ANTEPROY-
8.8.4 La informacin generada es de utilidad para las diferentes reas operativas, de planeacin,
coordinaciones tcnicas, optimizacin de procesos, atencin de emergencias, de simulacin, entre otros. Y
debe ser organizada en diferentes disciplinas, como se enuncian a continuacin:
Mantenimiento.
Seguridad industrial.
Perforacin.
Produccin.
Transporte y distribucin.
Operacin.
Comercial.
Exploracin.
8.8.5 La infraestructura propuesta en la arquitectura debe garantizar la conectividad y comparticin de los
datos a los diferentes sistemas, aplicaciones y/o programa (software) que ayuden a maximizar los procesos y
reducir los costos y riesgos.
8.8.6 El contar con informacin en tiempo real, debe ayudar a la organizacin a:
Minimizar los costos operacionales, al contar con informacin en tiempo real permitir al personal
enfocarse en las actividades operativas y no administrativas, al estar reportando las mediciones de
algn instrumento, proceso, instalacin, entre otros.
Minimizar el riesgo, contar con la informacin de forma oportuna, confiable y poder compartirla con las
diferentes entidades, permite analizar la situacin actual los procesos y tomar decisiones en tiempo.
Prevenir eventos, contar con informacin que permita tomar acciones de forma inmediata minimizando
los riesgos.
Tomar de decisiones, al contar con un panorama general de todo el proceso industrial permite mejorar
la toma de decisiones ya que se puede analizar los impactos, los diferentes escenarios, entre otros.
9. RESPONSABILIDADES
9.1 Petrleos Mexicanos y Organismos Subsidiarios. Vigilar el cumplimiento de esta norma de
referencia para la adquisicin y/o contratacin de servicios para la integracin y seguridad de datos de procesos
de las instalaciones automatizadas de Petrleos Mexicanos y Organismos Subsidiarios.
9.2 Proveedor y/o contratista. Es responsabilidad del proveedor y/o contratista, el diseo, construccin,
materiales, instalacin, configuracin, pruebas y puesta en operacin de la integracin y seguridad de datos de
procesos de las instalaciones automatizadas de Petrleos Mexicanos y Organismos Subsidiarios.
9.2.1 Es responsabilidad del proveedor y/o contratista, cumplir con los requerimientos especificados en esta
norma de referencia.
9.2.2 El proveedor y/o contratista debe responder plenamente ante la ocurrencia de anomalas en la
operacin de la integracin y seguridad de datos de procesos de las instalaciones automatizadas de Petrleos
Mexicanos y Organismos Subsidiarios que se originen por no aplicar lo indicado en esta norma de referencia.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 28 DE 56
Rev: 0
ANTEPROY-
10. CONCORDANCIA CON NORMAS MEXICANAS O INTERNACIONALES
No tiene concordancia.
11. Bibliografa
11.1 AGA 12. Task Group: Cryptographic protection of SCADA communications: General
recommendations, 2004. (Grupo de Trabajo: Proteccin Criptogrfica de Comunicaciones de SCADA:
Recomendaciones Generales, 2004).
11.2 API Standard 1164, Pipeline SCADA Security, American Petroleum Institute, Septiembre, 2004.
(Seguridad en SCADA de Ductos, Estndar API 1164, Instituto Americano del Petrleo).
11.3 BS ISO/IEC 17799:2000 BS 7799-1:2000 Information Technology Code for Practice for Information
Security Management. (Tecnologa de Informacin - Cdigo de Prcticas para Administracin de Seguridad de
la Informacin).
11.4 FIPS 46. Data Encryption Standard (DES), 1999 October 25. (Estndar para Encriptacin de Datos 25
de octubre de 1999).
11.5 FIPS 140. Security Requirements for Cryptographic Modules 1994 January 11 (Requerimientos de
Seguridad para Mdulos Criptogrficos, 11 de enero de 1994).
11.6 FIPS 180. Secure Hash Standard (SHS), 1995 April 17 (Estndar de Hash Seguro, 17 de abril de
1995).
11.7 FIPS 186. Digital Signature Standard (DSS), 1994 May 19 (Estndar de Firma Digital, 19 de mayo de
1994).
11.8 FIPS 197. Advanced Encryption Standard (AES), November 26, 2001 (Estndar de Encriptacin
Avanzada, 26 de noviembre de 2001).
11.9 Industrial Network Security, ISA, Teumim, David J. 2005. (Seguridad en Red Inalmbrica, ISA).
11.10 ISA-TR99.00.01-2004. Security Technologies for Manufacturing and Control Systems. (Tecnologas de
Seguridad para Manufactura y Sistemas de Control).
11.11 ITU-T Security in Telecommunications and Information Technology Version 2004(Seguridad en
las Telecomunicaciones y Tecnologas de Informacin Versin 2004).
11.12 Lineamientos Particulares de Sistemas de Monitoreo y Control Electrnico en Instalaciones de
PEP. Pemex Exploracin y Produccin. Comunidad Profesional de Manejo, Distribucin y Ventas. 2002.
11.13 M. System Reliability Theory. Hoyland, A., Rausand, John Wiley and Sons, Inc. 1994 (M. Teora de
Sistemas de Confiabilidad).
11.14 NIST SP 800-30. Risk Management Guide for Information Technology Systems, Julio 2002.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf. (Gua de Administracin de Riesgo para
Sistemas de Tecnologa de la Informacin).
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 29 DE 56
Rev: 0
ANTEPROY-
11.15 NIST SP 800-34. Contingency Planning Guide for Information Technology Systems, Junio 2002.
http://csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf (Gua de Planeacin de Contingencias para
Sistemas de Tecnologa de la Informacin).
11.16 NIST Special Publication 800-48. Wireless Network Security: 802.11, Bluetooth and Handheld
Devices. Noviembre, 2002. http://csrc.nist.gov/publications/nistpubs/800-48/NIST_SP_800-48.pdf (Seguridad en
Redes Inalmbricas: 802.11, Dispositivos Bluetooth y De Mano).
11.17 OPC Alarmas & Events Custom Interface Specification 1.0. (OPC Especificacin de Interfaz
Tradicional de Alarmas y Eventos 1.0) http://www.opcfoundation .org/DownloadFile .aspx?CM= 3&RI= 29&CN
=KEY&CI=283&CU=25, octubre 2002.
11.18 OPC Data Access Custom Interface Specification 3.0. (OPC Especificacin de Interfaz Tradicional
de Acceso de Datos. 3.0) http://www.opcfoundation.org /DownloadFile .aspx/Data%20Access /OPC%20DA %
203.00%20Specification.pdf?RI=67, marzo 2003.
11.19 OPC Data Exchange Specification 1.0. (OPC Especificacin de Intercambio de Datos 1.0)
http://www.opcfoundation.org/DownloadFile.aspx/Data%20eXchange/OPC%20DX%201.00%20Specification.pdf
?RI=77, marzo 2003.
11.20 OPC Historical Data Access Automation Interface Standard 1.0. (OPC Estndar de Interfaz para
Acceso de Datos Histricos de Automatizacin 1.0) http://www.opcfoundation .org/DownloadFile .aspx?CM
=3&RI =117 &CN=KEY&CI=283&CU=25, enero 2001.
11.21 P.2.0000.03. Manual de Especificaciones Automatizacin de Instalaciones de Proceso Normatividad
Tcnica, 2 Edicin de mayo de 2006.
11.22 P.2.0401.01. Simbologa de Equipo de Proceso.
11.23 P.2.0401.02. Simbologa e Identificacin de Instrumentos.
11.24 P.2.0602.02. Desplegados Grficos Dinmicos para el Sistema Digital de Monitoreo y Control (SDMC).
11.25 Revista Intech Mxico. Octubre/Diciembre 2004. XML Pg. 24.
12. ANEXOS. (Normativos)
12.1 Arquitectura tecnolgica de la automatizacin integrada de PEMEX.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 30 DE 56
Rev: 0
ANTEPROY-
12.2 Niveles de cobertura de la Pirmide de automatizacin, para la integracin y seguridad de datos
de procesos industriales.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 31 DE 56
Rev: 0
ANTEPROY-
12.3 Nomenclatura para la identificacin de variables en la base de datos de los servidores
integradores historiadores.
Con la finalidad de homogenizar y estandarizar los criterios para identificar los datos de procesos industriales
provenientes del instrumento, se debe identificar desde el tipo de variable hasta Regin en los servidores
integradores historiadores, como se indica en la siguiente tabla, y as evitar duplicidad en los TAGs de stos;
por lo que dicha nomenclatura se debe apegar a los siguientes campos:
a) Para PEMEX-Exploracin y Produccin:

Regin
Activo /
Gerencia
Campo /
yacimiento
Complejo
/
Sector
Instalacin Proceso
Equipo
esttico o
dinmico
Identificacin
del
instrumento
Tipo de
variable
XXX XXX XXXX XXX XXXXXX99 XXXX XXXXXX9
9
XXXXXXXXX
XX
XXXX
3
Caracteres
Alfanumric
os(fijos)
3
Caracter
es
Alfanum
ricos
(fijos)
4 Caracteres
Alfanumrico
s (fijos)
3
Caracteres
Alfanumri
cos (fijos).
6
Caracteres
Alfanumrico
s (fijos) +
2 Numricos
(opcional
cuando
existe mas
de una
instalacin)
4
Caracter
es
Alfanum
ricos
(fijos)
6
Caracteres
Alfanumri
cos (fijos)
+ 2
Numricos
(opcional
cuando
existe mas
de un
equipo)
11 Caracteres
Alfanumricos
(mximo)
4
Caracter
es
Alfanum
ricos
(mximo)
Donde:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 32 DE 56
Rev: 0
ANTEPROY-
Identificacin. Es el identificador que se le asigna a la identificacin dentro del servidor integrador historiador,
el cual se emplea para organizar y ordenar los datos provenientes de los Sistemas Digitales de Monitoreo y
Control (SDMCs).
La identificacin se debe conformar de caracteres que identifican de manera ordenada la regin, activo o
gerencia, campo o yacimiento, complejo o sector, instalacin, proceso, equipo, identificacin y tipo de variable,
por lo que cada regin debe elaborar su propios catlogos para la asignacin de los TAGs respetando de
manera invariable la cantidad de caracteres para los campos regin, activo/gerencia, campo/yacimiento,
complejo/sector, instalacin, proceso y equipo (excepto por los dos caracteres numricos marcados como
opcionales, los cuales pueden omitirse en caso de ser instalacin o equipo nico), con respecto al campo para
la identificacin TAG se deben utilizar los primeros 11 caracteres como mximo y para el campo del tipo de
variable este se debe apegar a la especificacin tcnica P.2.0401.02, cada uno de los campos se debe separar
por puntos.
As mismo, los catlogos que se definan por las coordinaciones regionales para la designacin de las TAGs
deben remitirse al rea responsable de la plataforma de tiempo real para su revisin, aprobacin y registro,
antes de su implantacin.
Ejemplos:
Identificacin = SUR.TDH.AGD.AADSTU.ALBO.BA105R.LIC103APID1.PV (asignado a la identificacin
dentro del servidor integrador historiador)
Identificacin = SUR\TDH\AGD\AADSTU\ALBO\BA105R\LIC103APID1.PV (asignado a la identificacin
dentro del servidor integrador historiador)
Identificacin = SUR_TDH_AGD_AADSTU_ALBO_BA105R_LIC103APID1.PV (asignado a la identificacin
dentro del servidor integrador historiador)
O una combinacin de los anteriores.
Donde:
SUR Regin Sur
GTDH Gerencia de Transporte de Hidrocarburos
SAGD Sector aguadulce
CAMPO El campo o yacimiento no aplica para las GTDH
AADSTU rea de almacenamiento domos salinos de Tuzandepetl
ALBO Al proceso de almacenamiento de bombeo
BA105R Identificador del equipo dinmico de proceso denominado bomba centrfuga
LIC103APID1 Identificador del instrumento indicador de presin, proveniente del SDMC
PV Identificador de la variable de proceso
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 33 DE 56
Rev: 0
ANTEPROY-
A continuacin se muestra una tabla con ejemplos para nombrar o identificar cada uno de los campos de la
identificacin:
Regin
Marina Noreste = MNE
Marina Suroeste = MSO
Norte = NTE
Sur = SUR
Activo o gerencia
GTDH = TDH, Burgos = BUR, Samaria Luna = SLU, Muspac = MUS, Cinco
Presidentes = 5PR, Macuspana = MAC, Cantarell = CAN, Litoral de Tabasco = LIT,
Abkatun Pool Chuc = APC, Bellota Jujo = BEJ, Perforacin Divisin Sur = DIS, entre
otros.
Campo o
yacimiento
Akal=AKAL, Bolontiku=BTKU, Cann= CANN, Chuc=CHUF, Balam=BLAM,
Mallob=MALOB, Jacinto=JACT, Tepeyim=TPYN, Bellota=BLLT, Chinchorro=CHCR,
Muspac= MSPC, Soledad=SLDA, Tres hermanos=3HRM, Coyotes=CYTS,
Abahuac=ANHC, Agua fra=AFRI, Pandura= PAND
Complejo o
sector
Akal J = AKJ, Cardenas = CAR, Aguadulce = AGD, Reforma = REF, Comalcalco =
COM, Cd Pemex = CDP, entre otros.
Instalacin
Central de Almacenamiento y Bombeo Poza Rica = CABOPR, Estacin de
Recoleccin de Gas Cuitlahuac 2 = ERGASC02, rea de Almacenamiento en Domos
Salinos Tuzandepetl = AADSTU, Batera de Separacin Tecominoacn = BSTECO,
Akal J Produccin 1 = PBAKAJ01, Nohoch A Produccin 1 = PBNOHA01, Pol A
Compresin = COPOLA01, Abkatun A Enlace = ENABKA01, PERFORACIN AKAL
DB = PPAKDB01, entre otros.
Proceso
Almacenamiento y Bombeo = ALBO, Bombeo Mecnico = BMEC, Bombeo
Neumtico = BNEU, Separacin de Aceite = SACE, Separacin de Gas = SGAS,
Endulzamiento = ENDU, Compresin de Gas = CGAS, entre otros.
Equipo (esttico
o dinmico)
Un equipo esttico se debe referir al equipo de proceso tal como; Tanque de
Almacenamiento, Separador, Torre de estabilizacin, entre otros. Un equipo
Dinmico se refiere a equipos rotatorio tal como; Motobombas, Motocompresores,
Turbogeneradores, Turbo bombas, entre otros. identificado tpicamente por
caracteres alfanumricos. Para cada uno de los casos la nomenclatura se debe
apegar a los DTIs de los AS-BUILT o a las especificaciones tcnicas de Pemex no.
P.2.0401.01, P.2.041.02 y P.2.0602.02.
identificacin de
variable
Es el identificador del instrumento, que contiene tpicamente caracteres
alfanumricos provenientes del Sistema de Monitoreo y Control, incorporado este
al servidor integrador historiador, para lo cual se debe ordenar de forma
estandarizada apegada a los DTIs de cmo qued construido AS BUILT o a la
especificaciones tcnicas de PEMEX no. P.2.0401.01, P:2.0401.02 y P.2.0602.02.
Tipo de variable
Es un identificador adicional a la identificacin del instrumento que se refiere a si la
variable es de tipo Punto de Ajuste = SP, Variable de Proceso = PV, Seal de Salida
= OP, L, LL = Alarma de bajo o muy bajo, H, HH = Alarma de alto o muy alto, Modo
de Control ( Automtico = AUTO, Manual = MAN, Cascada = CAS), Promedio
Horario = AVGH, Promedio Diario= AVGD, Promedio Mensual = AVGM, entre otros.
Los campos descripcin y unidades de ingeniera correspondientes a la identificacin, deben ser configurados
forzosamente para cada identificacin existente y/o creada, as como el rango mnimo-mximo y el valor
deseado.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 34 DE 56
Rev: 0
ANTEPROY-
Se puede contar con TAGs calculados o replicados, por lo que para su rpida identificacin se debe poner en
el nombre del TAG un prefijo como por ejemplo:
Tipo Prefijo
Replicado rep.
Suma sum.
Promedio avg.
Totalizado tot.
Performance equation pe.
Dividido entre 10 d10.
Dividido entre 100 d100.
Totalizados a las 5 am t5am.
Totalizados a las X am txam
Promedio a las 5 am a5am.
Promedio a las X am axam
b) Para PEMEX-Gas y Petroqumica Bsica:
La identificacin de los datos de procesos industriales provenientes de los instrumentos localizados en campo
para su integracin en los servidores integradores-historiadores, debe cumplir con los criterios que defina el
rea usuaria de este Organismo Subsidiario. As mismo estos datos deben remitirse al rea responsable de la
plataforma de tiempo real para su revisin, aprobacin y registro, antes de su implantacin.
c) Para PEMEX-Refinacin:
La identificacin de los datos de procesos industriales provenientes de los instrumentos localizados en campo
para su integracin en los servidores integradores-historiadores, debe cumplir con los criterios que defina el
rea usuaria de este Organismo Subsidiario. As mismo estos datos deben remitirse al rea responsable de la
plataforma de tiempo real para su revisin, aprobacin y registro, antes de su implantacin.
d) Para PEMEX-Petroqumica:
La identificacin de los datos de procesos industriales provenientes de los instrumentos localizados en campo
para su integracin en los servidores integradores-historiadores, debe cumplir con los criterios que defina el
rea usuaria de este Organismo Subsidiario. As mismo estos datos deben remitirse al rea responsable de la
plataforma de tiempo real para su revisin, aprobacin y registro, antes de su implantacin.
12.4 Nomenclatura para la identificacin de servidores integradores historiadores de PEMEX.
12.4.1 Asignacin del nombre para los servidores integradores-historiadores de PEP. Los nombres de
los servidores integradores historiadores para cada regin y zona, se deben asignar conforme a la siguiente
tabla:
Regin Zona Marina Zona Sur Zona Norte
Marina Noreste PEPMARPI01
Marina Suroeste PEPMARPI02
Sur PEPSURPI01
Norte - AIB
Norte - AIV
Norte - AIPRA
PEPNTEPI01
PEPNTEPI02
PEPNTEPI03
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 35 DE 56
Rev: 0
ANTEPROY-
As mismo se deben enviar los datos del servidor al rea responsable de la plataforma de tiempo real como se
muestra en la siguiente tabla:
Servidor PI Servidor RT Portal
Serie del equipo Serie del equipo
No. Inmovilizado No. Inmovilizado
Direccin Ip Direccin Ip
Versin instalada Versin instalada
Nombre del servidor Nombre del servidor
Marca Marca
Modelo Modelo
Procesadores Procesadores
Velocidad Velocidad
RAM RAM
Sistema Operativo Sistema Operativo
Ubicacin Ubicacin
URL del sitio principal
12.4.2 Asignacin del nombre para los servidores integradores-historiadores de PEMEX-GAS y
Petroqumica Bsica
La asignacin de los nombres de los servidores integradores-historiadores, debe cumplir con los criterios que
defina el rea usuaria de este Organismo Subsidiario. As mismo, los nombres de los servidores integradores-
historiadores citados, deben remitirse al rea responsable de la plataforma de tiempo real para su revisin,
aprobacin y registro, antes de su implantacin.
12.4.3 Asignacin del nombre para los servidores integradores-historiadores para PEMEX- Refinacin
La asignacin de los nombres de los servidores integradores-historiadores, debe cumplir con los criterios que
defina el rea usuaria de este Organismo Subsidiario. As mismo, los nombres de los servidores integradores-
historiadores citados, deben remitirse al rea responsable de la plataforma de tiempo real para su revisin,
aprobacin y registro, antes de su implantacin.
12.4.4 Asignacin del nombre para los servidores integradores-historiadores para PEMEX-
Petroqumica
La asignacin de los nombres de los servidores integradores-historiadores, debe cumplir con los criterios que
defina el rea usuaria de este Organismo Subsidiario. As mismo, los nombres de los servidores integradores-
historiadores citados, deben remitirse al rea responsable de la plataforma de tiempo real para su revisin,
aprobacin y registro, antes de su implantacin.
12.5 Intercambio de datos entre servidores integradores historiadores
Se debe preservar la seguridad y confidencialidad de la informacin, por lo que solo los dueos de la
informacin deben definir las reas que podrn visualizarla.
En caso de que las reas usuarias otorguen permisos hacia algn destinatario para que pueda visualizar o
incluso modificar algunos TAGs siempre y cuando se cumplan los siguientes puntos.
a) El intercambio de informacin entre regiones debe ser pactado y acordado entre reas operativas y/o
sede.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 36 DE 56
Rev: 0
ANTEPROY-
b) El responsable y dueo de la informacin debe solicitar y autorizar de forma oficial al rea responsable
de la plataforma de tiempo real especificando los TAGs que podrn acceder, as como los privilegios y
quienes pueden visualizar la informacin.
c) El rea responsable de la plataforma de tiempo real debe dar los accesos e informar al rea
correspondiente.
12.6 Especificaciones tcnicas de la infraestructura de equipo de cmputo
Integrador Historiador OPC WITSML PRODML
Integrador Auxiliar
WEB
Autenticacion
Proxy
Tipo de procesador: Velocidad:
Memoria RAM: Ranuras de expansin:
Capacidad de disco duro: Redundancia en disco duro:
Memoria RAM en video/monitor: Sistema operativo:
Cantidad de teclados: Arreglo interno de discos:
CD-RW DVD-RW
Puerto serie No. de puertos serie:
Puerto paralelo No. de puertos paralelo:
Puerto USB No. de puertos USB: Tipo:
Tarjeta de red Ethernet No. de tarjetas Ethernet: Velocidad:
Voltaje de alimentacion: 127 VCA 220 VCA
Unidad de almacenamiento masivo interno
Caracteristicas adicionales:
NOTA: ESTA HOJA DE DATOS TECNICOS DEBE SER AUTORIZADA POR EL AREA RESPONSABLE DE LA PLATAFORMA DE TIEMPO REAL DE PEMEX.
HOJA DE ESPECIFICACIN No. 01
SERVIDOR
Nombre de proyecto:
Localizacin:
Hoja 1 de 1
Realiz:
Fecha:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 37 DE 56
Rev: 0
ANTEPROY-
Dispositivo integrado de seguridad Corta Fuegos
con IDS, IPS y Cortafuegos
Procesador: Memoria RAM:
Memoria Flash Capacidad:
Protocolos de seguridad: Rendimiento:
Interfaces de conexin: Tipos de proteccion:
Tipo de cifrado: Metodo de Autenticacion:
Voltaje de alimentacin: 127 VCA 220 VCA
Caracteristicas tecnicas adicionales:
NOTA: ESTA HOJA DE DATOS TECNICOS DEBE SER AUTORIZADA POR EL AREA RESPONSABLE DE LA PLATAFORMA DE TIEMPO REAL DE PEMEX.
Localizacin:
Hoja 1 de 1
Fecha:
HOJA DE ESPECIFICACIN No. 2
DISPOSITIVOS DE SEGURIDAD INFORMTICA
Realiz:
Nombre de proyecto:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 38 DE 56
Rev: 0
ANTEPROY-
Conmutador de datos(Switch LAN) Enrutador
Procesador: Memoria RAM:
Memoria Flash Capacidad:
Protocolos de comunicacin: Rendimiento:
Interfaces de conexin: Protocolos de seguridad:
Cantidad de puertos: Tipo de puertos:
Voltaje de alimentacin: 127 VCA 220 VCA
Caracteristicas tecnicas adicionales:
NOTA: ESTA HOJA DE DATOS TECNICOS DEBERA SER AUTORIZADO POR EL AREA RESPONSABLE DE LA PLATAFORMA DE TIEMPO REAL DE PEMEX.
HOJA DE ESPECIFICACIN No. 3
DISPOSITIVOS DE COMUNICACIN
Realiz:
Nombre de proyecto:
Localizacin:
Hoja 1 de 1
Fecha:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 39 DE 56
Rev: 0
ANTEPROY-
12.7 Tipos de sistemas digitales de monitoreo y control en las instalaciones industriales de PEMEX
I. Sistemas de monitoreo
I.1 Sistemas de sensores de presin de fondo.
I.2 Sistemas de monitoreo de variables de perforacin.
I.3 Sistemas de monitoreo de variables operativas de aceite, gas y condensados.
I.4 Centros de respuesta y atencin de emergencias.
I.5 Sistemas centralizados de visualizacin y monitoreo de variables.
I.6 Sistemas centralizados para control de motores (CCMS).
I.7 Sistemas de monitoreo de fugas en ductos.
I.8 Sistemas de almacenamiento de hidrocarburos.
I.9 Sistemas de monitoreo y anlisis cromatogrficos de hidrocarburos en lnea.
II. Sistemas de control
II.1 Sistema de control de motogeneradores y turbogeneradores.
II.2 Sistema de control de motocompresores y turbocompresores.
II.3 Sistema de control de motobombas y turbobombas.
II.4 Sistemas de control distribuido (SCD).
II.5 Sistemas de control y adquisicin de datos automatizado (SCADA).
II.6 Sistemas de control de estabilizacin de crudo.
II.7 Sistemas de control para mezclado de hidrocarburos.
II.8 Sistemas de control de deshidratacin de hidrocarburos.
II.9 Sistemas de control de bombeo neumtico.
II.10 Sistemas de control de bombeo mecnico.
II.11 Sistemas de control de bombeo electrocentrifugo.
II.12 Sistemas de control para el endulzamiento de gas amargo.
II.13 Sistemas de control para manejo y recuperacin de condensados slug catcher.
II.14 Sistemas de control para la separacin de hidrocarburos.
II.15 Sistemas centralizados de monitoreo y control remoto de procesos industriales.
II.16 Controladores lgicos programables (PLCs).
II.17 Sistemas de control hbridos.
II.18 Sistemas de control para aire de planta e instrumentos.
II.19 Sistemas de control para plantas desaladoras de hidrocarburos.
II.20 Sistemas de control de desfogues.
III. Sistemas de seguridad
III.1 Sistemas de seguridad industrial.
III.1.1 Sistemas de deteccin y supresin de fuego.
III.1.2 Sistemas de deteccin de gas toxico.
III.1.3 Sistemas de deteccin de gas combustible.
III.1.4 Sistemas de alarmas.
III.1.5 Sistemas de paro por emergencia.
III.2 Sistemas de seguridad fsica.
III.2.1 Sistemas de circuito cerrado de televisin.
III.2.2 Sistemas de control de acceso.
III.2.3 Sistemas de videovigilancia.
III.2.4 Sistemas de proteccin perimetral.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 40 DE 56
Rev: 0
ANTEPROY-
IV. Sistemas auxiliares
IV.1 Sistemas de medicin de aceite, gas y condensados.
IV.2 Sistemas de transferencia de custodia.
IV.3 Sistemas de tratamiento de aguas negras.
IV.4 Sistemas de tratamiento de aguas aceitosas.
IV.5 Sistemas de tratamiento de aguas jabonosas.
IV.6 Sistemas de tratamiento de aguas congnitas.
IV.7 Sistemas de control de plantas potabilizadoras.
IV.8 Sistemas de control de calidad de fludos.
IV.9 Sistemas de intercomunicacin y voceo inteligentes.
IV.10 Sistemas de entrenamiento a operadores basado en simuladores (otss).
IV.11 Sistemas de anlisis y medicin de parmetros para laboratorios.
IV.12 Sistemas de proteccin catdica.
IV.13 Sistemas de monitoreo y control de la corrosin.
IV.14 Sistemas de inyeccin de qumicos (inhibidores, antiespumantes, entre otros).
IV.15 Sistemas de rastreo y monitoreo de vehculos.
IV.16 Sistemas de refrigeracin y enfriamiento.
IV.17 Sistemas de calentamiento y/o transferencia de calor (aceite, entre otros).
IV.18 Sistemas de fuerza ininterrumpible (SFI UPS).
IV.19 Sistemas de monitoreo y control de trfico marino y terrestre.
IV.20 Sistemas de muestreo de hidrocarburos.
12.8 Seguridad de la red industrial
12.8.1 Introduccin
12.8.1.1 Se debe presentar la mejor opcin en la salvaguarda de la informacin e infraestructura en los
sistemas automatizados en cada uno de los diferentes procesos de PEMEX, minimizando los riesgos en la
integracin de datos del proceso hacia las reas de evaluacin y toma de decisiones.
12.8.1.2 En esta norma de referencia se presentan algunas arquitecturas que se deben implementar en las
redes industriales, con diferentes tecnologas en la prevencin y deteccin de posibles ataques mediante las
comunicaciones, es importante sealar que a medida de que avancen las tecnologas de informacin y
comunicaciones, se debe actualizar este documento, sin desviar el objetivo de su funcin: Contar con el mejor
esquema de comunicacin, seguridad y flexibilidad en la extraccin de datos del proceso.
12.8.2 La seguridad, contexto general
12.8.2.1 La seguridad debe estar orientada a la proteccin de los bienes contra amenazas, donde las
amenazas deben ser categorizadas por el abuso potencial en contra de los bienes protegidos. Todas las
categoras se deben considerar; pero en el mbito de la seguridad, se debe dar mayor atencin a las amenazas
relacionadas con actividades maliciosas u otras actividades humanas. La figura 1 ilustra este concepto en un
alto nivel y su relacin entre los elementos que nos permiten trabajar en la seguridad.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 41 DE 56
Rev: 0
ANTEPROY-
Figura 1, Contexto general de la seguridad en un alto nivel y su relacin entre los elementos que nos
permiten trabajar con seguridad.
12.8.2.2 Conforme lo muestra la figura 1, debemos vigilar y hacer mejoras en los esquemas de seguridad
que se implementen en las instalaciones industriales, siempre cumpliendo con las normas y estndares
requeridas por PEMEX para la integracin y seguridad de los datos de proceso.
12.8.2.3 Y para ello inicialmente se deben reconocer las vulnerabilidades de un sistema de monitoreo y
control, analizar y mitigar los riesgos asociados con ellas. Algunos de los cuestionamientos de la industria del
petrleo son:
Los sistemas SCADA pueden causar desastres.
El activo fijo es de larga vida (generalmente, la infraestructura es vieja) y se maneja informacin con
amplias escalas de tiempo, siendo esta industria la que mas utiliza los datos en un periodo mas largo
que otras.
Son pocas las referencias o estndares de seguridad para SCADAs.
Se tiene poca experiencia en desarrollos y evaluaciones de seguridad para sistemas SCADA.
12.8.2.4 La mayora de los sistemas SCADA mantienen su seguridad al estar aislados de cualquier otra red.
Es por ello que la seguridad de estos sistemas se debe basar en normas y arquitecturas que cumplan con las
siguientes recomendaciones:
Conectividad en las redes de datos.
Servicios de TI en las instalaciones industriales.
Mejorar las arquitecturas de comunicaciones a las reas operativas en conjunto con la Gerencia de
Ingeniera de Telecomunicaciones.
12.8.2.5 Seguridad en la conectividad de la red de datos en las instalaciones industriales. Se debe
trabajar en la integracin de la informacin que se obtiene en cada sistema, llevndola hasta las reas de toma
de decisin y de operaciones ejecutivas, por lo que se deben disear esquemas de redes seguras para la
extraccin de los datos de proceso ya que las redes del SCADA y SDMC no deben ser independientes,
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 42 DE 56
Rev: 0
ANTEPROY-
convergiendo en algn punto con el mundo exterior, hacia las redes de datos conectadas a la Internet y por lo
tanto con un ndice alto de ataques de virus y hackers.
12.8.2.6 Para analizar la red que vamos a proteger se deben conocer los siguientes trminos:
Red de Instrumentacin.
Red de Control.
Red Industrial.
Red Administrativa.
a) Red de instrumentacin.- Red de instrumentos o dispositivos (de acuerdo con los protocolos de
comunicacin que se indican en la NRF-046-PEMEX-2003, entre otros), debe permitir interconectar
entre si: sensores, interfaces de operador, drivers, arrancadores suaves, entre otros, para ser
controlados por el SDMC.
b) Red de control. Red de comunicaciones que permite un control permanente de todos los dispositivos
conectados a ella (de acuerdo con los protocolos de comunicacin que se indican en la NRF-046-
PEMEX-2003, entre otros). Esto significa que cada uno de los dispositivos conectados a la red de
control, deben estar "controlados" por al menos, un dispositivo de supervisin.
c) Red industrial. Red Ethernet en donde se tienen conectados solo dispositivos propios del SDMC, como
son las Interfaces Humano Mquina (IHM), servidores historiadores e impresoras de uso especfico
(reporteadores), (de acuerdo con los protocolos de comunicacin que se indican en la NRF-046-
PEMEX-2003, entre otros).
d) Red administrativa. Red en donde TI tiene todas las fortalezas de servicio y la interaccin con usuarios
dedicados a procesos administrativos y a manejo de informacin operativa ya extrada del rea
industrial.
12.8.2.7 En la figura 2 se ilustran la clasificacin de redes que se han creado para establecer estrategias de
servicios y arquitecturas:
Figura 2, Clasificacin de redes
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 43 DE 56
Rev: 0
ANTEPROY-
12.8.3 Conectividad entre la red industrial y la administrativa
Se deben seguir las siguientes reglas para conectar una red industrial con la administrativa:
1) Se debe contar con una segmentacin fsica de la red administrativa con la red de datos industrial.
2) Esta segmentacin debe estar resguardada con un equipo que su nica funcin sea la de seguridad.
3) Se debe establecer una separacin del trfico en la WAN mediante VPNs si es capa 3 y/o PVCs si es
en capa 2, de acuerdo a la tecnologa de telecomunicaciones
12.8.4 Segmentacin de redes
Debe existir una red cableada de datos nica y exclusivamente para el SCADA o para los Sistemas Digitales de
Monitoreo y Control (SDMC), redundante y separada e independiente (fsica y lgicamente) de la red
administrativa (figura 4) o de cualquier equipo que sea de uso general y que se encuentre dentro del cuarto de
control (figura 5) respetando en todo momento, los requerimientos especificados en la NRF-022-PEMEX-2008.
Figura 4, Redes separadas sin ningn contacto entre ellas
Figura 5, Cuarto de control con equipos de uso general (Office, correo, intranet, internet, entre otros)
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 44 DE 56
Rev: 0
ANTEPROY-
12.8.4.1 Cuando se tenga este tipo de esquemas, se debe conectar en diferentes equipos de
comunicaciones las estaciones de trabajo (IHM) y los equipos de uso general. De no contar con un equipo
adicional y que la instalacin no sea de alto riesgo, se debe de considerar lo siguiente:
a) Crear VLAN para cada segmento
b) Tener ampliamente identificado los equipos de uso general y monitorearlos constantemente, vigilando
que tengan las ltimas actualizaciones del sistema operativo, paquetera y antivirus.
12.8.4.2 Es muy importante no manejar servicios comunes (Paquetera de office no requerida, correo,
intranet, internet, USB o CD/DVD si no es necesario, entre otros.) en las IHM. Se debe considerar, al momento
de hacer requisiciones, equipos de uso general para el personal operativo de las instalaciones industriales.
12.8.5 Conectando las redes
12.8.5.1 Para el caso de los SDMC y de los SIS los datos del proceso se deben concentrar en un servidor
historiador o en una IHM (con funciones de historizacin), siendo estos los nicos elementos que establezcan
comunicacin entre la red de control y la red industrial, para su posterior envi de los datos de proceso hacia la
red administrativa, (figura 6)
Figura 6, Conectividad con un equipo de seguridad
12.8.6 Direccionamiento IP sobre la red industrial para acceder al nivel supervisin
12.8.6.1 Cuando se ponga en operacin un SCADA o SDMC el fabricante debe manejar un
direccionamiento de red diferente al de una red administrativa (ejemplo: 10.x.x.x, 20.x.x.x), por lo que se debe
contar con un direccionamiento IP industrial:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 45 DE 56
Rev: 0
ANTEPROY-
a) Para PEMEX-Exploracin y Produccin:
Regin Inicia Termina
Marina Suroeste 10.190.0.0 10.194.255.255
Marina Noreste 10.195.0.0 10.199.255.255
10.181.0.0 10.184.255.255
Sur
10.171.0.0* 10.171.255.255*
Norte 10.121.0.0 10.124.255.255
*(Zona Istmo) Se deben manejar dos segmentos para la Regin Sur derivado de las
ubicaciones por zonas en las que est distribuida la infraestructura de GIT
b) Para PEMEX-Refinacin:
Al entrar en operacin un SCADA o SDMC el fabricante debe manejar un direccionamiento de red diferente
al de una red administrativa (ejemplo: 10.x.x.x, 20.x.x.x), por lo que se debe contar con un
direccionamiento IP industrial, el cual debe cumplir con los criterios que defina el rea usuaria de este
Organismo Subsidiario. As mismo estos direccionamientos deben remitirse al rea responsable de la
plataforma de tiempo real para su revisin, aprobacin y registro, antes de su implantacin.
c) Para PEMEX-Gas y Petroqumica Bsica:
Al entrar en operacin un SCADA o SDMC el fabricante debe manejar un direccionamiento de red diferente
al de una red administrativa (ejemplo: 10.x.x.x, 20.x.x.x), por lo que se debe contar con un
direccionamiento IP industrial, el cual debe cumplir con los criterios que defina el rea usuaria de este
Organismo Subsidiario. As mismo estos direccionamientos deben remitirse al rea responsable de la
plataforma de tiempo real para su revisin, aprobacin y registro, antes de su implantacin.
d) Para PEMEX-Petroqumca:
Al entrar en operacin un SCADA o SDMC el fabricante debe manejar un direccionamiento de red diferente
al de una red administrativa (ejemplo: 10.x.x.x, 20.x.x.x), por lo que se debe contar con un
direccionamiento IP industrial, el cual debe cumplir con los criterios que defina el rea usuaria de este
Organismo Subsidiario. As mismo estos direccionamientos deben remitirse al rea responsable de la
plataforma de tiempo real para su revisin, aprobacin y registro, antes de su implantacin.
12.8.6.2 El detalle del direccionamiento IP para cada instalacin debe estar estructurado de acuerdo a los
nodos de comunicaciones y a los sistemas del proceso, figura 8.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 46 DE 56
Rev: 0
ANTEPROY-
Figura 8, Ejemplo de distribucin de direccionamiento IP

12.8.6.3 Cabe sealar que cada sistema debe de contar con una red separada fsicamente.
12.8.7 Equipos de seguridad para las redes
12.8.7.1 Para mantener la seguridad y mitigar amenazas al momento de conectar la red industrial con la
administrativa para la extraccin de los datos del proceso, se debe de contar con un sistema de deteccin y
proteccin que permita la prevencin de intrusiones y actu como un cortafuegos, siendo estas las nicas
funciones del equipo, adems de:
a) Proveer un amplio rango del permetro de la red con servicios de seguridad para no permitir accesos no
autorizados, filtracin de contenido, trfico malicioso, virus, gusanos, spam.
b) Debe tener la capacidad y flexibilidad de controlar el acceso de aplicaciones, servicios y protocolos
definidos por el usuario.
c) Integrar mtodos de inspeccin que proveen aplicaciones para los servicios de seguridad y control de
protocolos tales como: Hypertext transfer Protocol (http), Hipertext Markup Languaje (HTML),File
Transfer Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System
(DNS), Simple Network Management Protocol (SNMP), Internet Control Message Protocol (ICMP),
SQL*Net, Network File System (NFS), H.323 Versiones 1-4, Session Inicial Protocol (SIP), Cisco Skinny
Client Control Protocol (SCCP), Real-Time Streaming Protocol (RTSP), GPRS Tunneling Protocol
(GTP), Internet Locator Services (ILS), Sun Remote Procedure Call (RPC) y otros.
12.8.7.2 Cabe sealar que no se debe utilizar una sola marca en equipos de comunicacin y seguridad, ni
modelos que hayan salido recientemente al mercado. Esto es, si existe ms de un sistema en una zona se debe
de alternar modelos y marcas ya que si existe una falla se replica en toda la zona ocasionando la perdida de la
informacin o algo mas critico, la posibilidad de perder el control en la instalacin.

12.8.7.3 El equipo solo debe permitir el acceso a:
Servidor PI de manera bidireccional (Puerto 5450)
o PI Regin Norte
o PI Regin Sur
o PI Regiones Marinas
Servidor de monitoreo
o SNMP, ICMP, Puerto 139 Performance Monitor
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 47 DE 56
Rev: 0
ANTEPROY-
Servidor de antivirus
Servidor de actualizaciones
12.8.7.4 Siendo estas direcciones IPs y puertos los que se tendrn que vigilar, por lo que se deben tener
pantallas donde se debe estar monitoreando estos equipos, as como se deben configurar alarmas de
incidentes, se deben crear reportes cada 15 das (los cuales deben ser establecidos por personal responsable
del rea de control y automatizacin o rea equivalente dependiendo del Organismo Subsidiario del que se
trate) para el seguimiento de la operacin de estos equipos.
12.8.7.5 Se deben tener publicados todos los programas de mantenimiento a estos equipos y a la red de
datos industrial y se deben tener que informar al rea operativa con 3 das de anticipacin, recordndoles
durante los siguientes das, mediante avisos electrnicos.
12.8.7.6 Los siguientes son los esquemas que se deben manejar para la conectividad entre las redes
utilizando equipos de seguridad:
Figura 9, Diagrama tpico de conexin entre redes
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 48 DE 56
Rev: 0
ANTEPROY-
Figura 10, Diagrama de conexin de equipos de proceso y de uso general en el mismo cuarto de control

12.8.7.7 Soluciones tecnologicas. El proveedor o contratista debe implementar una de las siguientes
soluciones tecnolgicas de seguridad hacia la red industrial para instalar los equipos de red, que cumplan con
su funcin como se solicita en la presente norma de referencia:
a) Solucin A
a.1) Debe aplicar un filtro para red transparente, en lnea, encargado de bloquear ataques al tiempo
que permite el flujo ininterrumpido de trfico legtimo.
Figura 11, Diagrama de conectividad solucin A
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 49 DE 56
Rev: 0
ANTEPROY-
a.2) Funcionalidades que debe cumplir el equipo:
Proteccin con base en las vulnerabilidades
Tcnicas para identificar, analizar y bloquear amenazas
Anlisis completo de protocolos de comunicacin
Programacin de polticas
Monitoreo y reportes va Web o cliente
b) Solucin B
b.1) Debe permitir mostrar las capacidades de deteccin / bloqueo mediante la tecnologa de
respuesta activa y que cumpla con los requerimientos de:
o Detectar ataques conocidos y no conocidos.
o Operar sin firmas.
o Instalacin y operacin sencilla.
o No debe ser un punto de falla en la red.
o No debe generar latencia en el trfico real.


Figura 12, Diagrama de conectividad solucin B
b.2) Funcionalidades que debe cumplir el equipo:
Detectar la actividad maliciosa en forma puntual y sencilla
Detectar por direccin IP y puerto a travs del cual se genera la actividad.
Detectar si la actividad maliciosa se genera dentro del rango / segmento que se est
monitoreando, mediante el modulo de control de acceso a la red (NAC).
Generar polticas sin la necesidad de generar una accin hacia un Host.
El portal web debe mostrar las direcciones IP/MAC e informacin relacionada con las
mismas.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 50 DE 56
Rev: 0
ANTEPROY-
c) Solucin C
c.1) Debe operar en la red totalmente en lnea, para bloquear el trfico malicioso o indeseable y
proteger al trfico legtimo. Debe optimizar el rendimiento de red limpindola de ataques,
amenazas y asignando prioridades a las aplicaciones de misin crtica.
Figura 13, Diagrama de conectividad solucin C
c.2) Funcionalidades que debe cumplir el equipo:
Manejar filtros para prevenir los ataques sobre vulnerabilidades.
Contar con servicio de vacuna digital.
Manejar el ancho de banda (para detener la aparicin de aplicaciones parsitas (rogue) del
tipo persona a persona (Peer to Peer) o de mensajera instantnea que stas fluyan
libremente a travs de la red)
Proteger contra los ataques distribuidos de negacin de servicio (DDoS)
d) Solucin D
d.1) El servidor de seguridad y aceleracin debe ofrecer proteccin avanzada, facilidad de uso y
acceso rpido y seguro para todo tipo de redes. Este equipo debe contener un servidor de
seguridad del nivel de aplicacin, el cual debe formar un permetro de seguridad (cortafuegos)
entre los equipos de cmputo en las redes industriales y administrativas y generar reglas que
permitan la comunicacin necesaria.
d.2) Se deben realizar reportes y graficas para llevar el control y monitoreo de los equipos de
comunicaciones, las cuales deben de estar disponibles para su anlisis.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 51 DE 56
Rev: 0
ANTEPROY-


Figura 14, Diagrama de conectividad solucin D
12.8.8 Acceso a la informacin de tiempo real por parte de proveedores o contratistas prestadoras de
servicios
PEMEX debe contar con una solucin de manejo de identidad para otorgar el acceso a todos los prestadores de
servicio y que cuenten con un contrato vigente y con ello se tenga un estricto seguimiento en la red de datos.
12.8.9 Acceso al portal de tiempo real de PEMEX
En tanto se implementa la solucin de manejo de identidad, se deben seguir los siguientes requisitos para la
conectividad y acceso a la informacin de tiempo real:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 52 DE 56
Rev: 0
ANTEPROY-
Figura 15, Diagrama de conectividad para el acceso de compaas
1. Se debe solicitar a PEMEX la creacin de una cuenta VPN, quien autorizar su creacin, conforme al
formato del Anexo 12.9 de esta norma de referencia.
2. Personal autorizado de PEMEX debe crear una cuenta en el directorio activo, capturando la siguiente
informacin:
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 53 DE 56
Rev: 0
ANTEPROY-
Nombre del usuario del proveedor o contratista. Direccin del usuario del proveedor o contratista.
El usuario no puede cambiar el password y la
fecha es la de trmino del contrato del
proveedor o contratista con PEMEX.
Anotar los telfonos del usuario del proveedor o
contratista.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 54 DE 56
Rev: 0
ANTEPROY-
Responsable o responsables por parte de
PEMEX.
Grupo del Data Access al que debe pertenecer la
cuenta.
3. Personal de PEMEX debe crear un grupo o unidad organizacional en el directorio activo para agrupar a
los usuarios y aplicar las polticas de tecnologa de informacin.
Nomenclatura de Grupo GS-Region-Activo-AICompaias
Ejemplo: GS-RN-AIB-AI Compaias
GS-RN-AI Compaias
Nombre de UO: AI Compaias
4. Personal responsable de PEMEX debe crear un sitio el cual debe ser el nico lugar donde pueda
navegar el proveedor o contratista, as mismo deben determinar la normativa del nombre del sitio y sus
polticas.
5. El equipo debe estar identificado (Nombre, direccin IP).
6. Los equipos de cmputo del proveedor o contratista deben contar con las ltimas actualizaciones del
sistema operativo, as como de antivirus.
7. Los usuarios de proveedor o contratista se deben sujetar a las reglas del buen uso de la infraestructura
informtica de PEMEX.
8. Personal responsable de PEMEX debe de generar los reportes mensuales de acceso a la informacin,
a la red y a los servidores de PEMEX, por parte de los proveedores o contratistas de servicio.
Cuando se tenga el esquema de extender la red de PEMEX hacia los edificios de los proveedores o contratistas
o inclusive si estos estn dentro de las instalaciones de PEMEX, se debe cumplir con los siguientes requisitos:
a) La cuenta de usuario debe pertenecer al directorio activo de PEMEX.
b) El equipo del proveedor o contratista debe de estar en el directorio activo de PEMEX.
c) El equipo del proveedor o contratista debe de tener una IP fija.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 55 DE 56
Rev: 0
ANTEPROY-
12.8.10 Acceso a la red industrial
Para dar seguridad al acceso hacia el rea industrial se debe manejar la siguiente conectividad:
Figura 16, Diagrama de conectividad para el acceso de compaas, a la red industrial
1) Se debe solicitar a PEMEX la creacin de una cuenta VPN, quien autorizar su creacin, conforme al
formato del Anexo 12.9 de esta norma de referencia.
2) Al crear la cuenta VPN, esta debe asignar una direccin IP vlida en la red de PEMEX.
3) La IP asignada a la cuenta VPN debe ser esttica.
4) Esta IP debe ser la nica que se configure para tener acceso por el equipo de seguridad (cortafuegos)
de la red Industrial y se debe proceder a permitir la conexin hacia el dispositivo dentro del rea de
proceso.
5) Los siguientes requisitos, se deben aplicar para el caso de que se tenga el esquema de extender la red
de PEMEX hacia los edificios de los proveedores o contratistas o inclusive si estos estn dentro de las
instalaciones de PEMEX.
El equipo debe estar identificado (Nombre, direccin IP).
El equipo de cmputo debe contar con las ltimas actualizaciones del sistema operativo, as como
del antivirus, informacin que se debe entregar al solicitar el acceso a la red de PEMEX.
Los usuarios de proveedores o contratistas se deben sujetar a las reglas del buen uso de la
infraestructura informtica de PEMEX.
PEMEX, mediante el personal del rea de control y automatizacin y de TI, debe solicitar una
revisin del equipo de los proveedores o contratistas en cualquier momento.
Personal responsable de PEMEX debe de generar los reportes mensuales de acceso a la
informacin, a la red y a los servidores de PEMEX, por parte de los proveedores o contratistas de
servicio.
Comit de Normalizacin de
Petrleos Mexicanos y
Organismos Subsidiarios
INTEGRACIN Y SEGURIDAD DE
DATOS DE PROCESOS
INDUSTRIALES
NRF-225-PEMEX-2009
PGINA 56 DE 56
Rev: 0
ANTEPROY-
12.9 Formato para solicitud de cuentas VPN
12.9.1 Solicitud de cuenta de VPN para acceso remoto a la red de PEMEX
Se deben cumplir las siguientes instrucciones:
Debe cumplir con lo estipulado en la pgina de intranet de la Gerencia de Ingeniera de Telecomunicaciones
(http://www.git.pemex.com/index.cfm?action=content&sectionID=5&catID=159 )