lifehardcore

Класов сейчас нет. К1 это устаревшая классификация.
Изучайте Постановление Правительства №1119 и определяйте требуемый уровень защищенности (УЗ).
При определении УЗ считайте, что для вас неактуальны угрозы 1-ого и 2-ого типа (недекларируемые возможности в системном и прикладном ПО) иначе требования к средсвам защиты информации у вас будут жесткие.
По шифрованию читайте приказ ФСБ №378
Меры описаны в 21 приказе ФСТЭК. От сертифицированных решений вам будет уйти сложно, тем более если вы будете предлагать это как услугу.
Учтите, что для установки сертифицированных СКЗИ необхожима лицензия ФСБ, в вашем случае необходимо будет приглашать лицензианта.
Вообще тема создания СЗПДн сложная и объемная, приходится идти на компромиссы между функциалом и выполнением закона.

Если ставить и администрировать будете сами, то ставьте то, с чем есть опыт, и то, по чему больше всего информации и по решению проблем в интернете. Я по этой причине ставлю Ubuntu Server.

По поводу супербезопостности. На типичной конфигурации большинство взломов все равно идет через кривые PHP-скритпы, а не через саму ОС.
Я думаю что безопаснее будет установка хорошо вам понятной системы, чем установка теоретически безопастной системы, но которую вы плохо знаете.

Я бывший фряшник, переученный на дебиан. И я бы поставил дебиан.
В плане готовки проще. Безопастность относительно фряхи спорный момент.
А вообще что для вас ближе то и ставьте.

Если вы сможете сделать связку нгинкса и пхп-фпм, то вопрос про ОС не уместен. Если ваш уровень знаний не большой, то рекомендую посмотреть в сторону нгинкса с апач+пхп. И тут дебиан вам в помощь