Информация бывает общедоступной или ограниченного доступа (детали см. в 149-ФЗ от 27.07.2006).

Основные (не все) виды информации ограниченного доступа, по мере падения ответственности за нарушение её информационной безопасности:

a. Государственная тайна (ФЗ от 21 июля 1993 года N 5485-1).
b. Коммерческая тайна (от 29.07.2004 N 98-ФЗ).
c. Инсайдерская информация (от 27.07.2010 N 224-ФЗ).
d. Персональные данные (от 27.07.2006 N 152-ФЗ).
e. «Для служебного пользования» (постановление Правительства РФ от 03.11.1994 N 1233).

Принадлежность к информации ограниченного доступа определяется на основе перечней информации (за исключение персональных данных, для них определение зафиксировано в 152-ФЗ).

Кроме того есть требования по информационной безопасности исходя из назначения информационной системы, по мере падения ответственности за нарушение её информационной безопасности (не все типы систем):

a. Объекты Критической информационной инфраструктуры, нарушение функционирования которых может повлечь за собой последствия для населенного пункта, области, России в целом (от 26 июля 2017 г. N 187-ФЗ).

b. Государственные информационные системы для реализации полномочий органов власти или требований федеральных законов (детали см. в 149-ФЗ от 27.07.2006).

Прикладные требования по информационной безопасности для информационных систем зафиксированы во внутреннем нормативном документе — методике МТ-259.

Основой для предъявления требований по ИБ к информационной системе является моделирование угроз (основные угрозы с позиции регулятора перечислены тут bdu.fstec.ru ). Моделирование угроз используется для определения минимально возможного набора мер по информационной безопасности.

Владелец информации или системы может предъявить дополнительные требования по ИБ, например, чтобы озеро общедоступных данных не превратилось после кибератаки в болото данных. ;-)

Стоит отдельное внимание уделять, в случае если вы обрабатываете персональные данные граждан Евросоюза так как за нарушения требований GPDR можно получить штраф в размере до 4% от годового оборота группы компаний.

В РФ самые суровые штрафы за нарушение правил локализации обработки Персональных данных (т.е. в случае если обработка производится за рубежом).

Основными органами власти по ИБ в России являются: Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ РФ). Значимый объем нормативных требований сформирован Центробанком РФ.

Регулятором по правилам обработки персональных данных (не ИБ!) является Роскомнадзор.

Одной из самых востребованных концепций по информационной безопасности сейчас является «Сдвиг влево» т. е. учет требований по ИБ на максимально ранней стадии развития продукта (прототип, mvp, пилот и т. д.) т.к. это снижает расходы на ИБ и проект в целом.

С момента опубликования незащищенного сервиса в Интернет до его заражения проходит обычно не более 10 (!) минут (!).

Без реализации мер ИБ систему нельзя интегрировать с продуктивными системами (включая инфраструктурные).

Одним из способов снижения требований по ИБ к системе является исключение из объема обрабатываемых данных данных ограниченного доступа, например с помощью обезличивания персональных данных.

По моему опыту системы обрабатывающие аналитические данные получают самые высокие нормативные требования по ИБ т.к. в них обрабатываются данные с других защищаемых систем.

Большинство программных продуктов имеют официальные рекомендации по их ИБ настройкам Qlik не исключение, крайне желательно к ним прислушиваться.