Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Уязвимость – это любой недостаток в информационном активе, который может привести к реализации угроз безопасности. 
В области информационной безопасности под уязвимостями принято подразумевать прежде всего технические уязвимости в программном обеспечении, зафиксированные в базах уязвимостей, таких как CVE – Common Vulnerabilities and Exposures от компании MITRE или БДУ – База уязвимостей программного обеспечения ФСТЭК России. 
В Сервисе уязвимости это более широкое понятие. Уязвимостью может быть любое свойство актива, в том числе сам факт его существования. 
У уязвимостей в сервисе нет дополнительных полей и классификаций, как у угроз, за исключением связей с каталогами угроз и значения базовой вероятности реализации.
Вероятность реализации уязвимости оценивается качественно: отсутствует, низкая, средняя, высокая, критическая. 
Стоит отметить, что в процессе тестирования сервиса качественная оценка на уровне конкретных уязвимостей показала свою недостаточную объективность. В большинстве случаев следует переопределять вероятность реализации на уровне конкретных рисков, связанных с уязвимостью т.к. для точной оценки необходим контекст в виде типа актива, в котором содержится уязвимость и угрозы, к реализации которой уязвимость приводит.

Определения уязвимости

Существуют различные определения уязвимости:
уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.
уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.