В первую очередь нужно отталкиваться от ФЗ-152 "О персональных данных".
Если государственная информационная система - реализовать меры из Приказа ФСТЭК №17. Если негосударственная - из Приказ ФСТЭК № 21. Уровень защиты зависит от того, информацию о скольких субъектах будете обрабатывать и какие категории будете собирать (если только паспортные данные - то хорошо).
Помимо этого нужно изучить и реализовать все требования от ФСТЭК, ФСБ и Роскомнадзора, а потом отправить последнему уведомление об обработке ПДн.
