Безпека за держстандартами: як не перетворити ІТ на бюрократію?

Вітаю колег!

Ми плануємо працювати з державними реєстрами, і стикнулися з жорсткою вимогою — наша інфраструктура має мати атестат відповідності системі захисту інформації.

Від одного тільки опису паперової роботи та технічних обмежень стає лячно. Здається, що після цього наша гнучка ІТ-система стане абсолютно некерованою. Почав гуглити досвід інших і знайшов статтю про те, як створити КСЗІ в приватній хмарі https://www.kramatorskpost.com/yak-stvoriti-kszi-v-privatnii-xmari-i-ne-vtratiti-kerovanist_89762 без втрати керованості. Там досить оптимістично розписано, як провайдери можуть взяти частину цього болю на себе.

Чи є серед вас ті, хто реально проходив цю процедуру атестації? Скільки нервів та часу це у вас зайняло і чи варто воно того?