Анализ уязвимостей, включающий в себя выявление и оценку уязвимостей, - нетривиальная задача. Проблемой является выбор адекватного перечня уязвимостей информационных систем (ИС), их классификация, а также корректная оценка возможности и опасности эксплуатации выявленных уязвимостей. Цель работы - разработка единой классификации уязвимостей ИС, а также метрик оценки уязвимости по степени опасности. Для каждой категории уязвимостей сформирован набор метрик, позволяющих оценить степень опасности уязвимостей данной категории. Разработанный подход к анализу уязвимостей может быть полезен при реализации таких процессов, как оценка рисков, моделирование угроз, управление инцидентами, контроль соответствия требованиям.