B1t.exe, да это действительно большая головная боль и огромные риски, по поводу вашего плана, могу сказать, что тоже немного размытая картина. Взять тот же аудит систем и сетей, это не просто просканировать сканером сеть на уязвимости, это целая отдельная сфера со множеством вариантов и ответвлений. А в принципе идеи ваши понятны, и вполне не плохой план, если конечно все конкретизировать.

groundhog, согласен с вами, это очень обширная сфера деятельности, и существует огромное количество угроз информации, но начинать браться сразу за все, по моему это глупо. То что вы привели в пример, охватывает очень много услуг, и естественно связано с большими рисками и головной болью.
Начинать сразу, с нуля, организовывать такой комплексный подход почти нереально, даже хотя бы прибавить один вид услуг связанный с комплексной аппаратной защитой, это очень большие деньги и очень большая ответственность, что на начальном этапе молодая фирма вряд ли сможет потянуть.
Меня же конкретно интересует с чего можно начать, постепенно развивая структуру организации и добавляя новые виды услуг.
Да, в России это пока не так развито как за рубежом, но все таки развитие этой сферы идет стремительными шагами вперед.
Взять например те же центры сертификации ЭЦП, я общался с многими людьми, работающими конкретно в этом направлении, и заметил очень большой рост и перспективность данного направление. С каждым годом, все больше организаций, поставляют данные о налогах, по средствам интернета, при этом встает необходимость защиты этих данных, путем подписывания ЭЦП. Со временем я на 100% уверен, что это станет уже необходимым условием для любой организации.