Как организовать защиту персональных данных для медицинской информационной системы?

Добрый день!
Занимаюсь разработкой комплексной медицинской информационной системы и столкнулся с вопросом защиты персональных данных категории К1 в соответствии с законом 152-ФЗ. Возник вопрос, что делать, как быть? С чего начать?

Сейчас тестовая версия системы работает на VDS под управлением Debian 7. В качестве http сервера использую nginx+php-fpm. Проект задумывался как SaaS решение для медицинских учреждений, но недавно выяснилось, что мы не имеем право запускать такую систему, так как не получим сертификат от ФСБ и ФСТЭК, мол откажут они нам по причине не возможности защитить данные К1 с применением выбранной технологии.

Если конструктивно, то:
1. Понятно, что нужно шифрование данных. Как реализовать? Есть ли смысл использовать HTTPS и SSL-сертификат?
2. Есть ли смысл покупать AltLinux сертифицированный на хранение персональных данных или можно использовать все тот же Debian 7?
3. Как подготовить приложение к проверке и аттестации в ФСТЭК?
4. На что в первую очередь следует обратить внимание?
5. На данный момент изучаю следующие нормативные документы: ФЗ-152, ФСТЭК №17, ФСТЭК №21. Какие еще следует изучить?
6. Какие технические решения я обязан использовать?
7. Какие минимальные меры являются достаточными?

Очень надеюсь на поддержку специалистов в данном вопросе!