Бизнес в сфере ИБ [Вопрос]

В общем сразу перейду к делу. Встал такой вопрос, что уже пора начинать организовывать свое, более менее прибыльное, дело в сфере информационной безопасности. Планы и идеи имелись уже давно, но вот наконец то появились возможности и энтузиазм.
Я прекрасно понимаю, что это очень не легкий бизнес, и конечно же будут комментарии, что мне не стоит туда соваться, но все таки у меня есть четко поставленная цель к которой я буду стремиться.
Так вот имеется финансовая возможность, а так же возможность получения 2-ух лицензий фсб и фстэк'а для проведения данной деятельности, а так же имеются достаточно квалифицированные, заинтересованные кадры, готовые в начале работать на энтузиазме до поднятия фирмы на более менее стабильный уровень, их не так много конечно как хотелось бы, но все таки они есть.
Я лично пока не вижу каких то препятствий на данном этапе.
Так же имеется опыт в организации и решении всех вопросов связанных с регистрацией юридического лица.

На начальном этапе планируется организации деятельности связанной с предоставление услуг в сфере ИБ.
Я долго анализировал рынок услуг в России и регионе, смотрел другие фирмы, их прайсы и услуги.
В итоге в голове только все перемешалось из-за обилия различных вариантов и встал вопрос, так с чего же все таки начать?
На начальном этапе, какой список услуг наиболее оптимален, и менее конкурентный?
Проведение аудита, аутсорсинг, реселинг и внедрение ПО, аппаратных средств защиты или еще что то? Были идеи по поводу организации центра сертификации ЭЦП
С чего начинают молодые фирмы и новички в данной сфере?
Нужна хоть небольшая конкретика, что бы набросать примерный бизнес план.

Задал вопрос именно здесь, так как, все таки считаю, что возможно здесь могут находиться люди, которые сталкивались с подобными ситуациями.
Если нет, то тогда посоветуйте хороший форум, конференцию, может канал в irc, да что угодно, куда можно обратиться с данным вопросом.
Заранее спасибо.

 

о ! недавно разговаривал с разными людьми об этом, предлогал открыть контору по ИБ. ну мне отказали из за морок с лицензиями ФСБ и других контор....
в итоге получил такой ответ: план не плохой, просто требует очень больших головных боли и большие риски.

я до сих пор не отстаюсь но от своего.. всегда и везде беру ветвь "security", так что ТС, если будет возможность - хотел бы сотрудничать с вами ))

а я вот как думаю и чем планировал заниматся:
- восстановление информации с помощью специальных обородованием (очень мало кто этим занимается)
- предоставить VPN сервисы
- шифрование сетей и систем как с помощью программ, так и с аппаратных средств.
- не помешал бы СКС на высем уровне
- аудит систем и сетей
- пентестиг контор и сайтов (все, что в инете находится)
и т.д.

 

B1t.exe, у тебя какое-то детское отношение к сфере ИБ. Во-первых, если по вашему это просто сидеть за компом и ломать корпоративный сайт, то сразу забейте на это дело... Эта сфера охватывает многие аспекты: электронно-аппаратные, программные, организационные и т.д. Вам нужно будет защищать инфу не только от хакеров, но и от случайной или намеренной порчи, сбоя, бабушки со шваброй... Проектировать систему охраны и сигнализации, центролизованный мониторинг всего подотчётного оборудования и т.д. В общем тыщу раз задумайтесь - вам правильно сказали, очень большая головная боль и риски... Да и так уж повелось, что основной спрос на такого рода деятельность проснулся за бугром, нас тоже ждёт всплеск интереса к этой сфере, но потом... Да и времена сейчас не лёгкие...

 

groundhog
уважаемый, как вы писали: ДЕТСКИЕ, я бы сказал вы приняли это по-детски:

здесь имеется ввиду ваше

а мое это:

на ваше

я просто не стал конкретизировать и писать все подробно - вот например под СКС подразумивался начиная от телефонных линих до оптоволокна магистральных сетей..
вы просто не парвильно меня поняли.

а с этим согласен.

 

На Россию в целом конечно крупно, а вот мне интересно, что есть в вашем регионе?

 

B1t.exe, да это действительно большая головная боль и огромные риски, по поводу вашего плана, могу сказать, что тоже немного размытая картина. Взять тот же аудит систем и сетей, это не просто просканировать сканером сеть на уязвимости, это целая отдельная сфера со множеством вариантов и ответвлений. А в принципе идеи ваши понятны, и вполне не плохой план, если конечно все конкретизировать.

groundhog, согласен с вами, это очень обширная сфера деятельности, и существует огромное количество угроз информации, но начинать браться сразу за все, по моему это глупо. То что вы привели в пример, охватывает очень много услуг, и естественно связано с большими рисками и головной болью.
Начинать сразу, с нуля, организовывать такой комплексный подход почти нереально, даже хотя бы прибавить один вид услуг связанный с комплексной аппаратной защитой, это очень большие деньги и очень большая ответственность, что на начальном этапе молодая фирма вряд ли сможет потянуть.
Меня же конкретно интересует с чего можно начать, постепенно развивая структуру организации и добавляя новые виды услуг.
Да, в России это пока не так развито как за рубежом, но все таки развитие этой сферы идет стремительными шагами вперед.
Взять например те же центры сертификации ЭЦП, я общался с многими людьми, работающими конкретно в этом направлении, и заметил очень большой рост и перспективность данного направление. С каждым годом, все больше организаций, поставляют данные о налогах, по средствам интернета, при этом встает необходимость защиты этих данных, путем подписывания ЭЦП. Со временем я на 100% уверен, что это станет уже необходимым условием для любой организации.

 

to TC
не так просто пробиться начинающей конторе в сферу ИБ. В ней по большей части те фирмы, основатели или ведушие специ в которых - бывшие сотрудники органов или военные с оставшимися связями. Если твердо решил начать и есть ОПЫТНЫЕ и КВАЛИФИЦИРОВАННЫЕ кадры - я бы предложил заняться аудитом, консультированием фирм, при наличие лицензий фсб и фстэк'а можно попробывать заняться аттестацией объектов (но в таком случае придеться потратиться на дорогостоящее оборудование). А вообще мой преподаватель по инженерно-технической защите имел свою конторку по проектированию, монтажу и сопроваждению систем охранно-пожарной сигнализации и систем видеонаблюдения. Думаю для начала (получить практический опыт в реальных условиях + завязать полезные связи) это самое оно.
to B1t.exe
Понятие ИБ намного шире, чем вы думаете, и включает в себя организационные, правовые, инженерно-технические и криптографические меры ЗИ, причем каждая из этих мер - не менее обширное понятие

 

B1t.exe, не принимай всё близко так... Это критика... Это обычное дело... Я просто вижу, что ты плаваешь на поверхности... Вот ты сравнил своё:

Я тут всего лишь имел в виду, контроль над изменением критических данных, анализ и выделение таких данных в отдельную категорию, развёртывание система распрделённого бекапа, автоматизация такой системы, отработка действий по поднятию бекапа, развёртка и внедрение различных систем аутентификации (вплоть до биометрики) и т.д.

Потом ты сравнил своё:

и моё

Но тут я тебя тоже не понял... При чём тут оптоволокно? Ты что охранку будешь по оптоволокну тянуть? Я имею в виду, что придётся проводить охранку, устанавливать датчики, камеры. Устанавливать и настраивать сервак мониторинга всех этих девайсов... Пожарку в конце концов... Сейфы... Контракты с вневедомственной охраной...

Вот я и говорю - у тебя взгляд "детский" на всё это...

 

а разве СКС - это не структурированные Кабельные сети? to groundhog - в зависимости от характера и вида защищаемой информации или от категории объекта все наааамного сложнее того, что ты описал.

 

m0le[x]
ну я тоже не имел ввиду сидеть с x-spider_ом сканить и сказать: друдья, у вас все ОК. ))
нет, эта операция мжет занимать от месяца до пол года.
а вот пентестинг - может продлится до полтора года.
я все написано очень коротко и ясно, мало ли кто-то что то не поймет.

groundhog
) да нет, все в порядке, я не обижаюсь от критики особо от тех, кто соображает больше меня, просто я хочу сказать, что под этим я подразумиваю много чего и что если я написал защита информации - тут и криптография, и стеганография, и бекапы и резервные сервера, рабочие станции и аже мониторы
если я не писал, что как должен быть устроен контора, кто собирается официально заниматся ИБ - это незначит, что я незнаю.. я просто написал коротко. есть очень много нюансов, о которых многие из за даже не подозревает.. но не все же можно писать....

to all
я вижу у некоторых пошли сомнение на СКС. чуть чуть откроюсь.
кто как уже налисанли - кабельные системы. тут входит все начиная от пажаро-охрано-сигрализаци все, все виды прокладки сетей, тут АТС, тут резервные каналы с отдельными конторами и т.д.
СКС - это очень широкий спектор услуг.

 

У нас, эта сфера не так сильно развита как возможно в других регионах, отчасти возможно из-за нашего правительства. В целом у нас развита, так сказать, больше инженерно-техническая часть вопроса, охранные системы помещений, зданий, аппаратная часть защищенных систем, услуги аутсорсинга по установке защищенных информационных систем. В общем идут комплексные услуги по организации защищенной информационной инфраструктуры предприятия.
Есть организация, им нужно как то автоматизировать весь процесс работы, а так же некую роль в этом играет и защита информации, вот и обращаются в подобные аутсорсинг компании за услугами.
Конкретно и серьезно заниматься защитой информации на предприятии еще мало кто готов, мало кто сталкивался с угрозой инсайдеров, а так же внешних злоумышленников.

 

sedoy_xxx, Спасибо за совет, рассмотрю более подробно этот вариант. Просто думаю не так то легко будет пробиться в столь жесткой конкуренции данной сферы, хотя ради опыта, знакомств и так сказать, чтобы влиться в течение, думаю можно начать с этого.

 

Уходить желательно если есть на примете какой-то заказ, это в идеале, тогда будет какая-то уверенность, что вернутся деньги, и в процессе выполнения какую-то область охватите, появятся знакомства. Другой вопрос в том, что этот заказ найти не легко, мне почему-то на ум приходят только режимные предприятия в нашем городе, но мне кажется туда просто так не пробиться.

 

to m0le[x]
защитой информации на предприятии (если оно в этом нуждается) занимаются собственные подразделения ИБ. Сторонние организации привлекаются только в тех случаях, когда у своих нет лицензий либо разрешений на проведение тех или иных мероприятий (та же аттестация). Можно конечно консультировать по каким то вопросам - но для этого нужно уже раскрученное и пользующееся уважением имя и матерые спецы. Немного отвлекусь и скажу (в дополнении дела моего препода) как то рыская по инету в поисках идей для бизнеса наткнулся на топ типа, который с братом в гараже собирал gsm - сигнализации и толкал их дачникам и автолюбителям (на гаражи). Так вот я к тому что для начала можно попробывать занять "бюджетную" нишу, на которую уже существующие конторы не заряться, а умелый маркетинг и ценовая политика помогут сорвать бабла за счет кол-ва клиентов )))

 

Вот вот... к сожалению, а может и к счастью подобный опыт уже имеется. Никогда больше не буду заниматься бизнесом с друзьями. Деловые отношения и дружеские совершенно разные вещи, которые ни в коем случае нельзя совмещать, по крайней мере на начальном этапе точно.

 

ну то что нельзя заводить биз с друзьями-это наверное было бы первым правилом в книге "биз для чайников" -)
т.к. также имеются планы как и у ТС, сам планирую начать как уже говорилось с систем охранно-пожарной сигнализаций/систем видеонаблюдения. по моему мнению для начала это оптимальное решение, так сказать "для прощупывания почвы". также есть весьма полезные знакомства ). вобще же следует хорошенько пропарсить фирмы работающие в этой области конкретно в твоем регионе и уже делать выводы.