Атестат КСЗІ для ІТ-систем: бюрократичне пекло чи необхідна реальність?

Вітаю колег!

Ми плануємо брати участь у великих державних тендерах, і там несподівано з'явилася жорстка вимога — інфраструктура проєкту має відповідати держстандартам і мати атестат Комплексної системи захисту інформації (КСЗІ).

Від одного тільки опису всієї цієї паперової тяганини та вимог до апаратного ізолювання стає лячно. Здається, що ІТ-відділ після цього просто зупиниться в розвитку. Намагаючись знайти якийсь вихід, я натрапив на матеріал про те, як створити КСЗІ в приватній хмарі https://www.kramatorskpost.com/yak-stvoriti-kszi-v-privatnii-xmari-i-ne-vtratiti-kerovanist_89762 і це наштовхнуло мене на думку, що можна орендувати вже сертифікований майданчик і перекласти документальну відповідальність на провайдера.

Хто з вас реально проходив ці кола пекла з атестацією? Скільки часу та нервів це зайняло на практиці і як вплинуло на роботу адмінів?