Itt nem az volt a kérdés, hogy tudsz-e olyan elméleti scenario-t mondani ami szerined OK és nem kell, hanem hogy a gépen kell lenni egy ilyen alkalmazásnak - konkrétan: milyen legyen az.
Az auditor erre lesz kíváncsi, nem az okfejtésedre. Ez van sajnos.
Hidd el, ha az a követlemény, hogy legyen valós-idejű vírusvédelem és minden file felmásolásakor _és_ indításakor (ez fontos, mert ez lehet két különböző időpont és az hogy a "karatén" gépen a felmásolás pillanatában "tiszta" volt, nem feltétlen azt jelenti, hogy amikor elindítod az éles gépen, már nem jelezne be, mert pl. a világ/kutatók közben rájöttek hogy sajnos gond van vele)
+ ezek az AV-k már futás közben is nézik (EDR,HIPS funkcionalitás) hogy mit csinál - a karantén gépen meg megfuttatni nem fogod, ha jól sejtem...meg a konfigja se biztos hogy ugyanaz 100%-ra.