Читайте 17-ый Приказ ФСТЭК и хотя бы на практике его исполняйте + по моему пониманию, Ваше ПО (вернее подсистема защиты персональных данных) должно получить сертификат ФСТЭК на ПДн либо подсистема ЗИ должна быть разработана лицензиатом ФСТЭК. Хотя может быть в случае небольшой партии все "закроют глаза".