Делюсь опытомПРИЛОЖЕНИЕ 8.zip

характер рекомендательный, в смысле у них нет полномочий по проверке, выполнения Вами требований, но если будет конфликтная ситуация, на Вас всех собак повесят. Единственноо, данные бумаги ни с кем не согласованны и в суде грамотный безопасник-юрист-адвокат успешно это доказывают

Не факт. Нужно смотреть лист утверждения, но с ЦБ он стопудово согласован (см. утверждение о признании работоспособности в формуляре). По идее, с ФСБ эти документы тоже обязаны быть согласованы (это сертификационное требование).

Если подходить к вопросу формально, то:
1. Информация, передаваемая в рамках платежной системы, подлежит защите в соответствии с законодательством РФ
2. В силу п. 1 должны выполняться требования ПКЗ-2005
3. В силу п. 46 ПКЗ-2005 должны выполняться требования программной документации СКЗИ
4. В силу п. 50 ПКЗ-2005 ФСБ имеет право проверять и наказывать невыполнение требований программной документации

Вы правы в том, что за это не наказывают, но это как раз тот самый случай, когда "если вы не сидите - это не ваша заслуга, а наша недоработка".

Если (не дай бог) пройдет успешная атака на банк, нарушитель получит доступ к АРМ и отправит фродовый платеж на крупную сумму, то использование некошерного антивируса - формальный состав преступления по статье "Халатность". В реальной жизни маловероятно, но с точки зрения буквы закона - однозначно.

Так я об этом и пишу коллега
Был у меня опыт привлечённого эксперта по спору в арбитраже.

Резюме: грамотная связка безопасник-юрист организации- адвокат по корпоративному праву и претензионной работе оставили в дураках (выиграли дело) у местного РКЦ