Здравствуйте, уважаемые эксперты!

Вопрос связан с получением лицензий и разрешений для использования персональных данных в информационной системе, разрабатываемой для учебного заведения (школы).
Если ошибся разделом, перенесите, пожалуйста, в нужный.

В системе должны храниться сведения об учениках и их родителях. Минимальный набор - ФИО, дата рождения, мобильный телефон (возможно, домашний).
В первую очередь система разрабатывается для одной школы, но в будущем планируется ее использовать для нескольких.
Суммарное количество новых записей со всех школ не должно превышать 10,000 в год, т.е. лимит 100,000 будет превышен не раньше, чем через 10 лет.

Программное обеспечение разрабатывается с использованием СПО, которое не сертифицировано ФСТЭК (и не будет в обозримом будущем). На сервере используется Linux-based дистрибутив, который также не сертифицирован ФСТЭК.

Для получения официального разрешения на использование данной системы необходимо предоставить несколько документов:
1. выписка из реестра операторов, осуществляющих обработку персональных данных;
2. копия свидетельства о государственной регистрации программ для ЭВМ;
3. копия лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;
4. копия лицензии ФСТЭК России на деятельность по разработке средств защиты конфиденциальной информации.

Вопросы следующие:
1. Необходимо, чтобы система была установлена на сервере школы, находящемся на ее территории. Какие из перечисленных документов должны быть оформлены на школу?
2. Должно ли свидетельство о гос. регистрации ПО (документ 2) оформляться на школу или может на частное лицо - разработчика?
Поскольку предполагается дальнейшее использование в других школах, то необходимо оформить таким образом, чтобы никаких проблем не возникло. И очень желательно сохранить за разработчиком все авторские права с целью дальнейшего использования и разработки.
3. Какой уровень защищенности необходимо гарантировать в следующих случаях:
3.1. используется сертифицированная ФСТЭК ОС и СПО в качестве программного обеспечения, которое необходимо для работы системы;
3.2. используется ОС и СПО без сертификатов ФСТЭК.
Как я понял, это будет 3 и 2 уровни защищенности соответственно. Чем лучше/хуже иметь какой-то из них? По сути назначается только дополнительное ответственное лицо, технические средства используется те же самые.
4. Повлияет ли как-то на 3.1, 3.2 сертификация системы на отсутствие не декларированных возможностей?
5. Видимо, для оказания подобных услуг нескольким школам потребуется регистрировать юр. лицо, которое будет получать все указанные документы.
Предполагается использовать другие ресурсы. Например, арендовать сервер в дата-центре. Вряд ли там кого-то будут допускать в помещения для проведения сертификации - в ЦОДах масса серверов и оборудования.
Как в таком случае можно решить вопросы с получением необходимых документов?
5.1. Если никак не получится, то решит ли проблему установка собственного сервера в ЦОДе, на который могут быть куплены крышки, предотвращающие стороннее вмешательство в сервер?
5.2. Если 5.1 тоже не позволит получить соответствующие документы, то каким образом можно вообще это сделать? Оборудование должно быть установлено в дата-центре с качественным питанием и интернет-подключением, иначе система не обеспечит выполнение всех заявленных функций.
6. Необходимо ли периодически подтверждать какие-то документы для продолжения осуществления деятельности?
7. Какой примерно срок может занять оформление всех 4-х документов для того, чтобы использовать систему в одной школе с оборудованием на ее территории?

Прошу дать как можно более подробный ответ хотя бы на те вопросы, которые относятся к законодательству, позволяющий понять, как действовать дальше, чего ожидать и т.д.
За хороший ответ дополнительно отблагодарю.

Спасибо!