Уязвимости информационной безопасности - это слабые места информационного актива или средства контроля и управления, которые могут быть использованы злоумышленниками. Иными словами, речь идет о недостатках или ошибках создания/конфигурирования/использования информационного средства или системы, которые могут потенциально негативно повлиять на обеспечение информационной безопасности.
Важно отметить, что сами по себе уязвимости информационной безопасности не опасны. Они лишь открывают возможности для осуществления угроз ИБ. К наиболее распространенным причинам возникновения уязвимостей, как правило, относят: ошибки при проектировании и использовании программного обеспечения; несанкционированное внедрение и последующее использование ПО; внедрение вредоносного ПО; человеческий фактор.
Существует достаточно большое число классификаций уязвимостей информационной безопасности. Например, их подразделяют на объективные (обусловленные особенностями технических характеристик программного обеспечения), субъективные (возникшие вследствие действий разработчиков и пользователей ПО, системных администраторов) и случайные (возникшие вследствие непредвиденных обстоятельств). Еще одна классификация выделяет такие виды уязвимостей, как: технологические или архитектурные, выражающиеся в отсутствии необходимых технологий обеспечения информационной безопасности; организационные, выражающиеся в отсутствии выстроенных и регламентированных процедур обеспечения информационной безопасности; эксплуатационные, связанные с недостатками информационной структуры организации.