Вам сначала определить перечень персональных данных (только ФИО, ФИО + дата рождения, адрес, ДУЛ и т.п.), тип угроз и на этом основании определить требуемый уровень защищенности информационной системы. Далее на сайте ФСТЭК подобрать сертифицированные средства защиты, установить их в ИС, настроить, и зарегистрироваться в РосКомНадзоре как оператор обработки персональных данных. (Ну в смысле не Вам а муниципальному образовательному учреждению, в случае если они на собственном сервере делают, или оператору хостинга/облака если сайт будет на чужом хостинге/облаке.)
Подробнее надо читать в:
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" (с изм. и доп., вступ. в силу с 01.03.2021)
- Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
