На первом этапе рассчитывается уровень угрозы по уязвимости (Th) на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
Для подсчёта уровня угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через конкретные уязвимости. Для режима с одной базовой угрозой формула будет выглядеть так:
Значения уровня угрозы по всем уязвимостям получим в интервале от 0 до 1. Если угроз несколько, то подсчёт ведётся для каждой уязвимости по отдельности. Общий уровень угроз по ресурсу CThR, учитывая все угрозы, действующие на ресурс, подсчитывается по формуле для одного ресурса (n):
