Определение СЗИ которыми вы будете реализовывать ту или иную меру лежит на вас. Поэтому просто читаете информацию об этих продуктах на сайтах производителей, решаете нужно ли вам это, по карману ли ну и т.д. А потом внедряете.
К тому же в приказе есть такой абзац:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Но, естественно, все что вы внедряете и используете должно быть обосновано на бумаге, а не "ну я тут подумал что это сойдет"