Если делать все по фен-шую, то должна быть разработана куча регламентирующих документов.
В целом ваша последовательность действий в плане тех защиты такая:
— разрабатываете модель угроз, в которой определяете актуальные угрозы;
— исходя из типа угроз (я считаю, что в 99% случаев он третий) по постановлению правительства № 1119 устанавливаете уровень защищенности ИСПДн;
— берете приказ ФСТЭК № 21 и выбираете меры согласно УЗ, который Вы определили, там большое поле для действия, есть базовые меры, есть компенсирующие, можете вообще придумать свои меры, доказав «экономическую нецелесообразность» применения мер из приказа ФСТЭК. Главное чтобы меры (технические и организационные) нейтрализовывали актуальные угрозы;
— обратите внимание, что если ваша организация коммерческая, то вам не обязательно использовать сертифицированные средства защиты (в приказе ФСТЭК написано что-то типа «сертифицированные СЗИ применяются в случае, если это необходимо для нейтрализации актуальных угроз»). Для гос контор просто использование СЗИ определено дополнительно некоторыми другими нормативными актами, поэтому им никуда не деться, но если вы — коммерсы и можете нейтрализовать свои угрозы штатным средствами ОС (идентификация и аутентификация пользователей средствами AD например) или с помощью свободного ПО (squid и тд), то и флаг вам в руки!
Что касается «бумажной» защиты ПДн, то тут все целиком в 152-ФЗ написано. У вас должны быть назначены ответственные лица, определен перечень лиц, допущенных к работе с перс данными, разработано положение о работе с перс данными, ряд инструкций (парольная, антивирусная защита и тд), ряд журналов…