Предлагаю пойти шире:
- для начала надо понять что защищать: информацию - персональные данные, коммерческая тайна, инфраструктуру. Тут начать лучше с базовых федеральных законов - о ПДн, о КТ, об информации.
- далее можно обратиться к ГОСТам и требованиям регуляторов (ФСТЭК, Роскомнадзор) - составите общее представление о ИБ и того что от Вас хотят гос органы. Из стандартов почерпнете лучшие практики (серия 27001, NIST SP 800), документы ФСТЭК (в отношении ПДн) - приказ 21, модель угроз, Постановление правительства 1119.
- ну а дальше смотрите что для Вас актуально и начинаете закрывать техническими средствами и организационными мерами.
Сумбурно получилось - но общее представление думаю донес.
