Какие меры необходимо предпринять для защиты персональных данных в ЦОДе или в своей серверной?

Добрый день всем!
Прошу помощи специалистов-безопасников, либо тех, кто как я проходит это самостоятельно.
Я девелопер и технический директор проекта, ни разу не безопасник, просто так все повернулось.
Ситуация следующая. Есть проект, который работает с ПД, собственно представляет собой ИСПДн, по классификации УЗ-2 или УЗ-1 (собственно, в попытках более точно определить классификацию я провожу время сейчас).
1. Что необходимо предпринять для реализации всех необходимых мер с точки зрения законодательства РФ? С чего начать?
2. Поможет ли перевод всех серверов проекта из собственной серверной в ЦОД (с сертификацией ФСТЭКа) с арендой стойки? Что нужно для организации защиты ПД в собственной серверной?
3. Какое железо нужно и можно использовать? Нужно ли сертифицировать шлюзы?
Скажу сразу, что собственного безопасника у нас сейчас нет. На попытки отдать это дело на аутсорс мы получили достаточно космический счет на услуги, степень необходимости которых для проекта в существующей стадии мы не можем определить.
Прошу помощи сообщества.
p.s. И если у вас есть коммерческие (желательно комплексные) предложения (от себя лично, например) велкам тоже.