Consultoría para la implementación del Código de Red (Tecnologías de Información y Comunicaciones)

Transcripción

1 Consultoría para la implementación del Código de Red (Tecnologías de Información y Comunicaciones) Mtro. Oscar Miranda Miranda oscarmiranda@smartgridmexico.org Diciembre de 2018

2 Criterios de Tecnologías de Información y Comunicaciones y Seguridad de Información Capítulo 5 Disposiciones Generales de Red Eléctrica Inteligente en materia de Telemetría, Interoperabilidad y Seguridad de la Información (REI) para la operación del SEN

3 Objetivo Con el objeto de asegurar que el Control Operativo del SEN se realice en condiciones de eficiencia, Calidad, Confiabilidad, Continuidad, seguridad y sustentabilidad, se establecen criterios de telemetría en tiempo real, que pueden incluir la medición y el monitoreo de variables físicas para el control del SEN. Para el logro de dicho objetivo, la LIE establece como una herramienta la implementación de la Red Eléctrica Inteligente (REI), la cual prevé la integración de tecnologías avanzadas de información y comunicación en los elementos de medición, monitoreo y operación del SEN. En este sentido, un aspecto de suma importancia para el Control Operativo del SEN, es el uso de elementos de TIC, los cuales deben utilizar arquitecturas y tecnologías basadas en estándares abiertos, que permitan la Interoperabilidad y el máximo aprovechamiento de su potencial. Fuente: Código de Red (8 de abril de 2016) 3

4 Objetivo Objetivos: Establecer los criterios de telemetría en tiempo real para el control de la RNT, las RGD y los Participantes del Mercado de acuerdo a sus características de conexión o interconexión. Establecer los criterios generales para la integración de elementos de medición, monitoreo y operación en el SEN que utilizan TIC bajo un marco que promueva e impulse la Interoperabilidad de éstos, a fin de evitar la incompatibilidad de la infraestructura tecnológica e incrementar la eficiencia operativa del SEN. Establecer los criterios generales para la administración de la Seguridad de la Información que minimice la situación de riesgo del SEN ante amenazas a dicha seguridad, derivada del aumento en el uso de TIC, así como disminuir el impacto de eventos adversos de dicha naturaleza, que potencialmente podrían afectar la operación confiable del SEN. Fuente: Código de Red (8 de abril de 2016) 4

5 Alcance y aplicación El alcance y aplicación de este capitulo se delimita de la siguiente forma: La aplicación de los criterios REI-1 al REI-15, que hacen referencia a la adquisición de datos de telemetría en tiempo real, que son aquellos que se obtienen de los Sistemas de Control Supervisorio y Adquisición de Datos (SCADA) y que se utilizan para conocer en forma instantánea el estado operativo del SEN. La aplicación de los criterios REI-16 en adelante, corresponde a los Integrantes de la Industria Eléctrica responsables de los elementos y sistemas de TIC que forman parte del SEN. Fuente: Código de Red (8 de abril de 2016) 5

6 Medición y monitoreo Criterio REI-1. El CENACE definirá los criterios para determinar las fronteras de medición entre los Integrantes de la Industria Eléctrica, así como la ubicación del punto de medición entre dos o más participantes. La definición de fronteras y la ubicación del punto de medición deberán permitir el cálculo del balance de energía para: Centrales Eléctricas. Servicios auxiliares de las Centrales Eléctricas. Red Nacional de Transmisión. Redes Generales de Distribución. Centros de Carga pertenecientes a un Participante del Mercado Eléctrico Mayorista. Criterio REI-2. Cada punto de medición será identificado por un código único permanente, el cual será asignado por el CENACE. Criterio REI-3. Cada punto de medición de Centrales Eléctricas y Centros de Carga debe cumplir con los requerimientos establecidos en la regulación aplicable en materia de Seguridad de la Información y tecnologías de información y comunicación. Criterio REI-6. El CENACE deberá contar, en su caso, con un Sistema de Gestión en tiempo real de los medidores y de los sellos instalados en los equipos de medición. Fuente: Código de Red (8 de abril de 2016) 6

7 Telemetría en tiempo real (SCADA) Criterio REI-7. Para asegurar la calidad de la información deben considerarse los siguientes requisitos: Visibilidad de la telemetría. Supervisión del desempeño, garantizando la exactitud y validez de sus valores, y asegurar la precisión de los mismos. Rapidez de telemetría directa en los tiempos establecidos en la regulación aplicable en materia de Seguridad de la Información y tecnologías de información y comunicación. Criterio REI-8. La entrega de datos operativos de los Integrantes de la Industria Eléctrica, deben estar respaldadas por TIC, cuyo diseño proporcione disponibilidad, desempeño y alta confiabilidad. Fuente: Código de Red (8 de abril de 2016) 7

8 Telemetría en tiempo real (SCADA) Criterio REI-7. Para asegurar la precisión de la medición se deberá cumplir con las siguientes especificaciones: Tener un error máximo de 0.4 % en las mediciones analógicas. Tener 1 milisegundo en la estampa de tiempo. Los voltajes de 400 kv se compararán contra secundarios de TP s o DP s aceptándose una desviación máxima de +/- 1 kv. Los voltajes de 230 kv, se compararán contra secundarios de TP s o DP s aceptándose una desviación máxima de +/- 0.5 kv. Los voltajes de 115 kv, se compararán contra secundarios de TP s o DP s aceptándose una desviación máxima de +/ kv. Para voltajes de 34.5 kv y 23.9 kv se aceptarán desviaciones máximas de +/- 100 V. Para voltaje de 13.8 kv se aceptarán desviaciones máximas de +/- 50 V. Para la medición de frecuencia se aceptará una desviación máxima de +/ Hz. Enviarse en forma directa al Centro de Control que le corresponda en función de las disposiciones aplicables. La comparación de tensiones se realizará contra los secundarios de TP S o DP S, aceptándose como máximo las tolerancias establecidas en el Manual de Disposiciones Operativas del Mercado correspondiente para cada nivel de tensión. La medición de potencia activa en MW y potencia reactiva en MVAr se comparará en lo posible contra los multimedidores de campo aceptándose una desviación máxima del 5% cuando el flujo de la línea sea menor a 50 MW / MVAr. La medición de potencia activa en MW y potencia reactiva en MVAr se comparará en lo posible contra los multimedidores de campo aceptándose una desviación máxima del 1% cuando el flujo de la línea sea mayor a 50 MW / MVAr. La medición de potencia activa en MW, potencia reactiva en MVAr y corriente en A de Unidades, autotransformadores y transformadores se comparará en lo posible contra lo medido en multimedidores de campo, aceptándose una desviación máxima del 5% para unidades menores de 150 MVA, cuando el flujo de los equipos es menor al 50% de su capacidad nominal en MVA. Fuente: Código de Red (8 de abril de 2016) 8

9 Telemetría en tiempo real (SCADA) Criterio REI-7. Para asegurar la precisión de la medición se deberá cumplir con las siguientes especificaciones (continuación): La medición de potencia activa en MW, potencia reactiva en MVAr y corriente en A de Unidades, autotransformadores y transformadores se comparará en lo posible contra lo medido en multimedidores de campo, aceptándose una desviación máxima del 2% para las unidades iguales o mayores de 150 MVA cuando el flujo de los equipos es igual o mayor al 50% de su capacidad nominal en MVA. La medición de corriente en A de Alimentadores se comparará en lo posible contra lo medido en secundarios de TC s de campo, aceptándose una desviación máxima del 7% cuando el flujo del Alimentador es menor a 10 A. La medición de corriente en A de Alimentadores se comparará en lo posible contra lo medido en secundarios de TC s de campo, aceptándose una desviación máxima del 5% cuando el flujo del Alimentador es igual ó mayor a 10 A. En mediciones de temperatura se aceptarán desviaciones máximas de 1 C. La medición de cambiador de tap en la maestra, deberá coincidir con la indicación de campo, para esta prueba será necesario pasar de NR a NL o viceversa comprobando el paso por nominal. Fuente: Código de Red (8 de abril de 2016) 9

10 Implementación y desarrollo de Criterios de Interoperabilidad y Seguridad de la Información Criterio REI-15: Los Integrantes de la Industria Eléctrica deben implementar los criterios considerando principalmente llevar a cabo acciones para asegurar las siguientes condiciones: La Interoperabilidad de los elementos y sistemas de TIC que formen parte del SEN, La Seguridad de la Información del SEN. Fuente: Código de Red (8 de abril de 2016) 10

11 Implementación y desarrollo de Criterios de Interoperabilidad y Seguridad de la Información Criterio REI-17: En el desarrollo de los criterios de Interoperabilidad y Seguridad de la Información, los Integrantes de la Industria Eléctrica deben considerar los principios generales siguientes: Confidencialidad: Deben proteger su Infraestructura de TIC, así como la información que está fuera de su propia Infraestructura de TIC para impedir la divulgación de datos o información a terceros o sistemas no autorizados; Conservación: Serán responsables de conservar y mantener en condiciones adecuadas de operación su Infraestructura de TIC para asegurar la integridad, confidencialidad y disponibilidad de datos e información compartida; Disponibilidad de datos e información: Serán responsables de que la información o datos de su Infraestructura de TIC sean accesibles y utilizables por los usuarios o procesos autorizados cuando lo requieran, y en su caso, tener la capacidad de recuperar la información en el momento que se necesite; Equilibrio: Deben asegurar que su Infraestructura de TIC mantenga un balance entre los aspectos de seguridad de los datos e información y los accesos a los mismos, de forma que no sea un obstáculo para la Interoperabilidad; Integración con sistemas previamente instalados: Deben promover, cuando sea factible, la Interoperabilidad con la Infraestructura de TIC previamente instalada; Integridad: En su caso, serán responsables de comprobar la validez y consistencia de los datos e información compartida entre infraestructuras de TIC; Bidireccionalidad: Serán responsables de permitir y facilitar el flujo bidireccional de información entre infraestructuras de TIC autorizadas, en términos de las disposiciones generales que en su caso emita la CRE. Fuente: Código de Red (8 de abril de 2016) 11

12 Interoperabilidad de los elementos y sistemas de medición, monitoreo y operación de las redes eléctricas que cuenten con tecnologías de información y comunicación Criterio REI-18: Los Integrantes de la Industria Eléctrica deben utilizar para los sistemas de medición, monitoreo y operación con TIC de los cuales son responsables, estándares o normas nacionales o internacionales, los cuales deben tener, de manera enunciativa mas no limitativa, las siguientes características: Ser un estándar o norma cuya utilización no suponga una dificultad de acceso al estar disponible bajo términos justos, razonables y no discriminatorios; Que su uso y aplicación no esté condicionada al pago de un derecho de propiedad intelectual o industrial; Ser estable y maduro a nivel industrial; Ser aceptados nacional o internacionalmente para el uso en la Red Eléctrica; Ser desarrollado y adoptado internacionalmente, si es que resulta práctico, o bien certificado a nivel nacional, si es que se encuentra disponible; Estar soportados por una organización desarrolladora de estándares o una organización emisora de estándares, independiente de cualquier fabricante, para asegurar que son revisados de manera periódica y mejorados para adaptarse a requerimientos cambiantes, cuando sea práctico, y Adoptar procesos de Seguridad de la Información conforme a lo que establece la sección siguiente. Fuente: Código de Red (8 de abril de 2016) 12

13 Seguridad de la Información del SEN Criterio REI-20: Los Integrantes de la Industria Eléctrica, deben observar, implementar y operar mecanismos de Seguridad de la Información para la Infraestructura de TIC del SEN de la cual sean responsables, conforme a las disposiciones generales que, en su caso, emita la CRE en concordancia con lo establecido por las entidades de la Administración Publica Federal responsables en la materia. Fuente: Código de Red (8 de abril de 2016) 13

14 Seguridad de la Información del SEN Criterio REI-21: Los mecanismos de Seguridad de la Información para la Infraestructura de TIC, deben cumplir con las características siguientes: Establecer, operar y mantener un modelo de gestión de Seguridad de la Información; Efectuar la identificación de infraestructuras críticas y activos clave del SEN a su cargo y elaborar un catálogo respectivo, incluyendo tanto los activos físicos como los activos intangibles de información; Establecer los mecanismos de administración de riesgos que permitan identificar, analizar, evaluar, atender y monitorear los riesgos de incidentes de ataques o intrusiones a los sistemas de información; Establecer un sistema de gestión de seguridad de la Infraestructura de TIC que proteja la infraestructura crítica y activos clave con el fin de preservar la operación confiable del SEN; Establecer mecanismos de respuesta inmediata a incidentes de ataques o intrusiones a los sistemas de información; Vigilar los mecanismos establecidos y el desempeño del sistema de gestión de seguridad de la Infraestructura de TIC, a fin de prever desviaciones y mantener una mejora continua; Fomentar una cultura de Seguridad de la Información en los Integrantes de la Industria Eléctrica; y Establecer mecanismos de recuperación que permitan mantener la operación del SEN aún en eventos que afecten gravemente la Infraestructura de TIC como el caso de los desastres naturales. Fuente: Código de Red (8 de abril de 2016) 14

15 Nociones de ciberseguridad Motivos para atacar Robo de información Negación de servicio Manipulación de un servicio Disturbio y o sabotaje sólo por probar que se puede Fuente: Elaboración propia 15

16 MATRIZ DE VALORACIÓN DEL RIESGO F R E C U E N C I A MUY ALTA ALTA MODERADA BAJA MUY BAJA BAJO MODERADO ALTO EXTREMO Riesgos que requieren de acciones correctivas y preventivas. Monitoreo Riesgos que requieren de acciones preventivas. Investigación y monitoreo Riesgos que requieren ser monitoreados y de planes de acción detectivos INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICO I M P A C T O Fuente: Elaboración propia 16

17 Acción ante los riesgos Alta frecuencia Bajo Mitigar Baja frecuencia Alto Transferir impacto impacto Alta frecuencia Alto Evitar Baja frecuencia Bajo Aceptar impacto impacto Fuente: Elaboración propia 17

18 Modelo de Gestión de Seguridad de la Información Objetivos del Negocio Requerimientos del negocio Plan estratégico de seguridad Alineación estratégica con el negocio Visión de corto, mediano y largo plazo Directrices de Seguridad Plan de comunicación Definición del alcance del SGSI Diseño y aprobación del SGSI Clasificación de información Identificación de infraestructuras críticas Gobierno de Seguridad Directrices de Seguridad Implementación controles Operación de seguridad Procedimientos de seguridad Implementación Planeación Análisis de riesgos Diseño planes de mitigación Diseño de planes tácticos Monitoreo y validación Gestión de incidentes Cumplimiento Revisiones periódicas Mantenimiento y mejora Mejora en el desempeño Racionalización de controles Fuente: Elaboración propia 18

19 El proceso de mejora continua permite contar con un enfoque de seguridad a profundidad Capas Palancas de Seguridad Gobierno Directrices de seguridad Administración de riesgos Anillos de protección para activos críticos Gente Procesos Plan de comunicación de seguridad Centro de operaciones de seguridad (SOC) La estrategia de seguridad de información y activos críticos es a través de anillos de protección Información, intalaciones estratégicas y activos críticos Reaccionar Demorar Tecnología Seguridad en infraestructura de red Seguridad en componentes de TIC Seguridad en aplicativos TIC Detectar Disuadir/Prevenir Industriales Seguridad en sistemas de control industrial y SCADA Fuente: Elaboración propia 19

20 Mejora continua y aumento del nivel de madurez Aumento del nivel de madurez Mantenimiento y mejora Habilidades de seguridad Definir la Organización de la Seguridad Clasificación de información Nuevo alcance y ejecución de análisis de riesgos Ciclo II Diseño e implementación de Análisis de controles de seguridad riesgos - Ciclo I Marco normativo (directrices, estándares y guías de seguridad) Identificación de infraestructuras críticas Operación de controles de seguridad Integración de nuevos roles de seguridad Monitoreo y auditoría de controles Métricas de seguridad Evolución Fuente: Elaboración propia 20

21 Foro de revisión y actualización del Código de Red MANUAL DE REQUERIMIENTOS DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES PARA EL SISTEMA ELÉCTRICO NACIONAL Y EL MERCADO ELÉCTRICO MAYORISTA 21

22 Propósito y alcance de este Manual El presente "Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista" es el manual de practicas de mercado que establece los principios, reglas, directrices, ejemplos y procedimientos a seguir en el uso de las TIC, para que el CENACE, los Transportistas, los Distribuidores, las Centrales Eléctricas y los Centros de Carga cuenten con los medios de comunicación para transferencia de voz y datos, con calidad de la información, requeridos para cumplir con la Telemetría en Tiempo real en forma directa para el Control Operativo del SEN y con la operación del MEM, incluida la medición para liquidaciones. El contenido de este Manual está alineado con el Código de Red 2016, las Bases del Mercado Eléctrico, los manuales de prácticas del mercado, las disposiciones administrativas de carácter general, las normas oficiales mexicanas y demás normativa aplicable. Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 22

23 Propósito y alcance de este Manual Los Integrantes de la Industria Eléctrica se deben sujetar a las presentes disposiciones en las actividades que realicen y que tengan impacto en materia de TIC, relacionadas con la Telemetría y el telecontrol en Tiempo real, así como para la transferencia de voz y datos, con calidad de la información, para realizar para el Control Operativo del SEN y con la operación en el MEM, incluida la medición para liquidaciones. Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 23

24 Disposiciones comunes para el CENACE, el Transportista, el Distribuidor, la Central Eléctrica y el Centro de Carga, así como sus representantes en el MEM Pruebas para asegurar el correcto funcionamiento de la infraestructura de TIC Los requerimientos de TIC para el Control Operativo del SEN, que se establecen en este Manual, son exigibles para todas las instalaciones que participen en el MEM. Previo a que el Transportista, el Distribuidor, la Central Eléctrica o el Centro de Carga solicite a la unidad de inspección el certificado de cumplimiento de infraestructura requerida por el CENACE, debe contar con los resultados satisfactorios de las pruebas necesarias para asegurar el correcto funcionamiento de la infraestructura de TIC requerida por este Manual. Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 24

25 Disposiciones comunes para el CENACE, el Transportista, el Distribuidor, la Central Eléctrica y el Centro de Carga, así como sus representantes en el MEM Requisitos adicionales No se podrá exigir el cumplimiento de requisitos adicionales a los establecidos en el presente Manual, sin embargo, el CENACE, Transportista, el Distribuidor, la Central Eléctrica o el Centro de Carga, así como sus representantes en el MEM, podrán implementar requisitos superiores a los mínimos aquí solicitados si así lo desean. Sin perjuicio de lo anterior, de conformidad con el Criterio REI 9 del Código de Red 2016, dependiendo de las características de cada Integrante de la Industria Eléctrica y el impacto que represente para el SEN, la regulación aplicable en materia de Seguridad de la Información y tecnologías de información y comunicación correspondiente podrá considerar requerimientos especiales o casos de excepción. La aplicación de dichas particularidades será evaluada por el CENACE y sometida a la aprobación de la CRE. Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 25

26 Requerimientos de TIC que debe cumplir el Centro de Carga para el Control Operativo del SEN y la operación del MEM (Cap. 7) Envío de información de Dispositivos Remotos Para operar el SEN en condiciones de eficiencia, Calidad, Confiabilidad, Continuidad, seguridad y sustentabilidad, el CENACE requiere que le sea enviada información de Dispositivos Remotos de los Centros de Carga y su representante en el MEM, así como contar con comunicación de voz con éstos. En esta sección se establecen los requerimientos mínimos de infraestructura en materia de TIC que los Centros de Carga y su representante en el MEM, deben cumplir para la comunicación de voz y datos con el CENACE, en lo que respecta al Control Operativo del SEN y a la operación del MEM. Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 26

27 Generalidades Todo Centro de Carga directamente modelado debe cumplir con la Telemetría en Tiempo real en forma directa, como lo indica el numeral 1.2.3, inciso a), del Manual Regulatorio de Coordinación Operativa incluido en el Código de Red El Centro de Carga y su representante en el MEM deben implementar la infraestructura en materia de TIC que cumpla con lo indicado en este Manual y sus anexos, que servirá para establecer la interfaz de comunicación de voz y datos hacia el CENACE para la operación del SEN y del MEM. Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 27

28 Clasificación de Centros de Carga Los Centros de Carga se clasificarán, según su nivel de tensión, en: (a) Tipo A: Centros de Carga que se conecten a un nivel de tensión menor a 69 kv. (b) Tipo B: Centros de Carga que se conecten a un nivel de tensión mayor o igual a 69 kv. Para los casos en los que conforme a los estudios de interconexión, el CENACE determine que una Subestación de un Centro de Carga se deba integrar a la RNT, el Centro de Carga será el responsable de que dicha Subestación cumpla con lo indicado en el capítulo 4 del Transportista. Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 28

29 Sistema de Comunicaciones Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 29

30 Sistema de Comunicaciones Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 30

31 DIPLOMADO Sistema de Comunicaciones Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 31

32 Esquema del sistema de comunicación Fuente: Manual de Requerimientos de Tecnologías de Información y Comunicaciones para el Sistema Eléctrico Nacional y el Mercado Eléctrico Mayorista 32

33 Gracias! Mtro. Oscar Miranda Miranda