Инженерия защищённых систем и каналов связи

info@matrixcompany.ru

+7 999 9147724

Создание защищенных систем и каналов связи

Мы проектируем и внедряем защищённые корпоративные сети и сервисы связи (данные, голос, ВКС) с гарантией доступности, конфиденциальности и нормативного соответствия. Закрываем полный цикл: от стратегии и модели угроз до промышленной эксплуатации и поддержки по SLA.

Когда это нужно

  • Распределённая инфраструктура, удалённый доступ, филиалы/подрядчики
  • Требования по ПДн (152-ФЗ), КИИ (187-ФЗ), отраслевые стандарты
  • Инциденты и проверки: нужен аудит, план ремедиации, повышение зрелости
  • Модернизация/миграция (он-прем ↔ облако, гибрид, SD-WAN/ZTNA)

Что делаем (Scope)

  • Аналитика и архитектура. Обследование, модель угроз, HLD/LLD-архитектура, план внедрения/миграции, ТЭО.
  • Сегментация и периметр. L2/L3-сегментация, DMZ, межсетевые экраны, WAF, IDS/IPS.
  • Шифрованные каналы. S2S и P2S VPN (IPsec/IKEv2, WireGuard), TLS 1.3/mTLS, защита трафика межконтурно.
  • Доступ и идентичности. ZTNA, RBAC/ABAC, MFA, SSO (AD/LDAP/IdP), аудит привилегий.
  • Защищённая корпоративная связь. SIP-TLS/SRTP, SBC, защищённые ВКС, шифрование записей/журналов.
  • Наблюдаемость и реагирование. Мониторинг, журналирование, SIEM/NetFlow, плейбуки инцидентов (L1–L3).
  • Надёжность и DR. Кластеризация/HA, RPO/RTO, резервные каналы, тестовые восстановления.
  • Документы и обучение. Политики/регламенты, паспорт ИС, runbooks, тренинги для админов и пользователей.

Нормативное и юридическое сопровождение

  • Контуры ПДн и КИИ: классификация, реестр активов/процессов, политика доступа, журналы, хранение логов
  • Подготовка пакета документов (политики, модели угроз, договоры, соглашения об обработке данных)
  • Поддержка при внешних аудитах/проверках, план ремедиации и дорожные карты соответствия

Принципы архитектуры безопасности

  • Zero Trust & least privilege — доступ «по необходимости», верификация на каждом шаге
  • Crypto-by-default — шифрование «в пути» и «на хранении», управление ключами
  • Изоляция и отказоустойчивость — «blast radius» ограничен, есть резервирование и DR
  • Наблюдаемость — телеметрия, сигнатурные/поведенческие детекторы, контроль целостности
  • Док-дисциплина — актуальные схемы, CMDB, версии, контроль изменений

Технологический стек (варианты)

  • VPN/IPsec (IKEv2), WireGuard; TLS 1.3/mTLS; 802.1X/NAC, RADIUS/FreeRADIUS
  • Reverse-proxy и балансировка (nginx/Traefik), WAF, IDS/IPS
  • Каталоги и SSO (AD/LDAP, Keycloak и аналоги), MFA
  • Журналы/мониторинг (Prometheus/Zabbix, ELK/OpenSearch, NetFlow/IPFIX)
  • Корпоративная телефония и ВКС: SIP-TLS, SRTP, SBC, самодостаточные ВКС-решения

Процесс и артефакты

  1. Диагностика (1–2 недели): экспресс-аудит, отчёт о рисках и узких местах
  2. Проектирование: HLD/LLD, модель угроз, план миграции, ТЭО/смета
  3. Внедрение/модернизация: пилоты, cut-over-план, контрольные списки
  4. Безопасность и комплаенс: политики/регламенты, журналы, обучение персонала
  5. Ввод в эксплуатацию: паспорт ИС, runbooks, передача на поддержку
  6. Эксплуатация по SLA: мониторинг, инциденты/изменения, ежемесячная отчётность

Вы получаете: архитектурные схемы (HLD/LLD), модель угроз, матрицу доступа, план DR (RPO/RTO), регламенты и чек-листы, отчёты SLA/KPI.

SLA и показатели

  • Доступность целевых сервисов: ≥ 99,9% (по согласованным SLO)
  • Время реакции: P1 ≤ 30 мин (24×7), P2 ≤ 2 ч, P3 ≤ 8 ч
  • Покрытие шифрованием: 100% межконтурного трафика
  • Бэкапы: успешность ≥ 98%, тестовые восстановления — не реже квартала
  • MTTD/MTTR: целевые значения фиксируем и регулярно улучшаем

Модели сотрудничества

  • Обучение/ДПО — программы для ИТ/ИБ-команд и пользователей
  • Проект «под ключ» — от анализа и стратегии до промышленной эксплуатации
  • Аудит и проект-ревью — независимая экспертиза, план ремедиации
  • SLA-поддержка 24×7 — мониторинг, инциденты, патч-менеджмент, улучшения