Поэтому необходимые мероприятия приходилось проводить в сжатые сроки. Так, начатый 14 апреля 2009 года проект построения системы защиты персональных данных в Негосударственном пенсионном фонде «Благосостояние» сотрудники Leta IT Company выполнили за полгода, хотя обычно, по словам Андрея Конусова, генерального директора компании, на это требуется не менее девяти месяцев.
Сложность защиты персональных данных в НПФ «Благосостояние» связана с тем, что филиалы фонда есть более чем в 80 регионах России и, кроме центрального офиса, существует еще 19 региональных. Общее количество клиентов — почти 2 млн человек. Среди хранимой информации — данные о состоянии здоровья клиентов, и эти сведения должны защищаться на уровне гостайны в соответствии с требованиями ФСТЭК. Для снижения требуемого уровня защищенности персональных данных эксперты Leta IT рекомендовали фонду отказаться от хранения в информационной системе сведений о здоровье клиентов и перенести их на бумажные носители. Кроме того, было принято решение к назначенному сроку (31 декабря 2009 года) приводить в соответствие с требованиями не всю хранимую информацию, а только в центральном офисе фонда и восьми региональных.
Работы велись параллельно в нескольких отделениях фонда. Кроме того, в процессе внедрения защиты была проведена унификация информационной системы; вместо ранее использовавшихся десяти разрозненных систем обработки персональных данных ИТ-служба внедрила одну. Для защиты персональных данных были использованы системы управления доступом Dallas Lock компании «Конфидент», продукты серии VipNet компании «Инфотекс» и межсетевые экраны CSP VPN Gate компании S-Terra.
По словам Бориса Славина, руководителя департамента ИТ пенсионного фонда, в компании уже были внедрены удобные продукты защиты, но для удовлетворения требований закона пришлось перейти на более сложные и более трудоемкие в обслуживании инструменты.
В нынешнем году ситуация немного упростилась. Этому способствовал перенос сроков окончательного вступления в силу ФЗ-152. Кроме того, приказ № 58 ФСТЭК от 10 февраля 2010 года значительно расширил набор средств защиты: теперь не требуется сертификации на отсутствие недекларированных возможностей, достаточно простого сертификата по руководящим документам или общим критериям. В приказе также ничего не сказано о необходимости проводить аттестацию каждой построенной системы защиты, сняты требования о получении лицензии ФСТЭК на выполнение работ по защите корпоративной сети.