Некоторые методики оценки уязвимостей информационных систем:

• VPR (Vulnerability Priority Rating). 1 Оценка приоритета уязвимости, предложенная компанией Tenable. 1
• CVSS (Common Vulnerability Scoring System). 14 Общая система оценки уязвимостей, разработанная форумом команд реагирования на инциденты и обеспечения безопасности (Forum of Incident Response and Security Teams, FIRST). 1
• EPSS (The Exploit Prediction Scoring System). 1 Система оценки с прогнозированием эксплойтов, разработанная тем же FIRST. 1
• Методика оценки уровня критической значимости уязвимостей программных и программно-аппаратных средств, утверждённая Федеральной службой РФ по техническому и экспортному контролю 28 октября 2022 года. 14
• SSVC (Stakeholder-Specific Vulnerability Categorization Guide). 1 Руководство по классификации уязвимостей для конкретных заинтересованных сторон, разработанное Федеральным агентством США по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA). 1
• CCWAPSS (Common Criteria Web Application Security Scoring). 1 Общие критерии оценки безопасности веб-приложений, разработанные специалистом по ИБ Фредериком Шарпантье (Frederic Charpentier). 1

Также для оценки уязвимостей информационных систем используется тестирование на проникновение — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки нарушителя. 3