План самостоятельного изучения нормативной базы по ИБ

Нормативная база по информационной безопасности кажется необъятной: десятки законов, приказов и постановлений. Но если изучать их в правильном порядке — от общих понятий к частным требованиям, — складывается стройная картина. Ниже программа самостоятельного изучения нормативки по ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз. по этапам: что читать и в какой последовательности, со ссылками на разборы и первоисточники.

Этап 0. Фундамент: что и зачем защищаем

Начните с базовых понятий — без них нормативка читается как набор формальностей.

• Триада безопасности — конфиденциальность, целостность, доступность: цель любой защиты.
• Базовые термины: информация ограниченного доступа, виды тайн (персональные данные, коммерческая тайна, государственная тайна), угроза, уязвимость, риск. Сокращения удобно сверять по словарю терминов.

Этап 1. Персональные данные — основа для большинства операторов

С персональными данными сталкивается почти любая организация, поэтому это логичная отправная точка.

• 152-ФЗ «О персональных данных» — ключевой закон: что такое ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). и оператор, основания обработки, права субъектов, обязанности оператора.
• Подзаконные акты: уведомление в Роскомнадзор, требования к согласиям, ПП-687 (обработка без средств автоматизации). Практический сбор документов — в статье о политике обработки ПДн.
• ПП-1119 — уровни защищённости ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1…УЗ-4) и от чего они зависят. Разбор — «Уровни защищённости ПДн», расчёт — в калькуляторе.

Этап 2. Модель угроз и технические меры

Когда понятно, что и на каком уровне защищать, переходите к тому, от чего защищать и как.

• Модель угроз по методике ФСТЭК (2021) — как определить актуальные угрозы.
• Банк данных угроз (БДУ) ФСТЭК и работа с уязвимостями — источник угроз и уязвимостей для модели.
• Приказ ФСТЭК №21 — состав мер защиты ИСПДн под уровень защищённости. Разбор — «Приказ ФСТЭК №21».

Этап 3. Государственные информационные системы (ГИС)

Если работаете с ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК., добавьте профильный блок.

• Приказ ФСТЭК №117 (с 1 марта 2026 года вместо №17) — требования к защите ГИС и числовой показатель защищённости КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен.. Что изменилось — «Приказ №117 вместо №17».

Этап 4. Криптография и СКЗИ

Если применяете шифрование или электронную подпись, изучите криптоблок.

• ПКЗ-2005 (приказ ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. №66) — общие правила работы с криптосредствами; Инструкция ФАПСИ №152 — поэкземплярный учёт СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.; приказ ФСБ №378 — меры при защите ПДн с использованием криптосредств. Практика — «Учёт и хранение СКЗИ».

Этап 5. Критическая информационная инфраструктура (КИИ)

Для субъектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. — отдельный, более объёмный блок.

• 187-ФЗ — кто такой субъект КИИ; проверка — «Субъект КИИ: касается ли вас».
• Категорирование объектов (ПП-127) — пошагово; приказы ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №235 (силы и система безопасности) и №239 (технические меры); взаимодействие с ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ.; Указ №250.

Этап 6. Организация, документы и контроль

Завершите тем, как всё это живёт на практике.

• Комплект документов по защите информации — обзор.
• Роли и ответственные, квалификационные требования — распределение обязанностей и квалификационные требования.
• Контроль и проверки: проверочные листы Роскомнадзора, оценка эффективности мер, готовность к проверке.

Как изучать эффективно

• идите от общего к частному: сначала зачем и что, потом конкретные требования;
• читайте НПА в актуальной редакции — нормы меняются; первоисточники удобно держать под рукой в библиотеке НПА, а изменения отслеживать в новостях;
• закрепляйте практикой: на каждый блок пробуйте применить требования к своей системе;
• не пытайтесь выучить всё сразу — берите только применимые к вам режимы (ПДн нужны почти всем, ГИС, КИИ и СКЗИ — по ситуации).

Главное

Нормативку по ИБ удобнее всего изучать слоями: фундамент (триада, виды тайн) → персональные данные (152-ФЗ, ПП-1119) → модель угроз и меры (приказ ФСТЭК №21) → затем по применимости ГИС (приказ №117), СКЗИ (Инструкция ФАПСИ №152, приказ ФСБ №378) и КИИ (187-ФЗ, приказы №235 и №239, Указ №250) → и наконец организация, документы и контроль. Берите только применимые к вам режимы и закрепляйте каждый блок практикой. С чего начать карьеру в профессии — в статье «Как перейти в информационную безопасность из другой ИТ-специальности».