Критичность уязвимостей в системах безопасности оценивается по следующим основным критериям:

• Базовые метрики. 1 Отражают основные характеристики уязвимостей, влияющие на доступность, целостность и конфиденциальность информации. 1 К ним относятся вектор атаки, сложность атаки, уровень привилегий, взаимодействие с пользователем, влияние на конфиденциальность, целостность и доступность. 1
• Временные метрики. 1 Отражают характеристики уязвимости, которые изменяются со временем, но не зависят от среды функционирования программных, программно-аппаратных средств. 1 К ним относятся доступность средств эксплуатации, доступность средств устранения, степень доверия к информации об уязвимостях. 1
• Контекстные метрики. 1 Учитывают характеристики уязвимости, зависящие от среды функционирования программных, программно-аппаратных средств. 1

На основе этих критериев выделяют четыре основных уровня критичности уязвимостей: 2

1. Критический. 2 К нему относятся уязвимости, которые активно применяются злоумышленниками для атак на операционные системы, получения несанкционированного доступа к конфиденциальной информации. 2
2. Высокий. 2 Такая оценка уровня критичности уязвимости говорит о том, что проблема программного обеспечения несёт существенную угрозу конфиденциальности, целостности и доступности информации. 2
3. Средний. 2 Этот уровень присваивается уязвимостям, эксплуатация которых может привести к серьёзному ущербу, однако использовать их для атаки достаточно сложно. 2
4. Низкий. 2 Уровень присваивается брешам безопасности, эксплуатация которых маловероятна, либо нанесёт незначительный ущерб. 2