По крупному:
Приказ ФСТЭК России от 11.02.2013 N 17
"Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
Приказ ФСТЭК России от 18.02.2013 N 21
"Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Постановление Правительства РФ от 06.07.2015 N 676
"О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"
Разработка ПО для госзаказчиков должна производится на основании ТЗ, а приниматься ПО должно на основании ПМИ. Требования, непрописанные в ТЗ являются необоснованными и на них логично "забивать")
По своему опыту ещё требуют поддержку ГОСТовых алгоритмов шифрования взамен забугорных