In today's digital world, protecting critical information infrastructure (CII) is one of the most important tasks for organisations and the state. The growing number of different categories of threats increases the need to implement reliable security measures. In this article, the authors develop and propose their own method for managing IT threats at critical information infrastructure (CII) facilities. The method includes a synthesis of the multi-criteria decision-making method TODIM and the threat model STRIDE, which allows to effectively identify, assess and prioritise threats, taking into account their probability, potential damage and complexity of implementation. The IT threat management method consists of seven stages: identifying threats, defining assessment criteria, normalising data, determining criteria weights, making pairwise comparisons of alternative threats, obtaining an integrative assessment, and prioritising threats. An experimental study of the method conducted for the CII's Electronic Communications sub-sector showed its effectiveness in prioritising threats and improving the security of critical information systems. The results of the study indicate the need for priority measures to neutralise the Denial of Service threat, which has the highest level of criticality for the Electronic Communications subsector. Further research will be aimed at optimising the method, expanding the recommendations for IT threat management and improving the assessment of combined threats. У сучасному світі цифрових технологій захист критичної інформаційної інфраструктури (КІІ) є одним із найважливіших завдань для організацій та держави. Зростання кількості різних категорій загроз підвищує необхідність впровадження надійних заходів безпеки. У статті авторами розроблено та запропоновано власний метод управління ІТ-загрозами на об'єктах критичної інформаційної інфраструктури (ОКІІ). Метод включає синтез багатокритеріального методу прийняття рішень TODIM та моделі загроз STRIDE, що дозволяє ефективно ідентифікувати, оцінювати та пріоритизувати загрози, враховуючи їхню ймовірність, потенційний збиток та складність реалізації. Метод управління ІТ-загрозами складається з семи етапів: ідентифікація загроз, визначення критеріїв оцінки, нормалізація даних, визначення вагових коефіцієнтів критеріїв, проведення парних порівнянь альтернативних загроз, отримання інтегративної оцінки та пріоритизація загроз. Експериментальне дослідження методу, проведене для підсектору "Електронні комунікації" КІІ, показало його ефективність у визначенні пріоритетів загроз та підвищенні рівня захищеності критичних інформаційних систем. Результати дослідження вказують на необхідність першочергових заходів для нейтралізації загрози відмови в обслуговуванні (Denial of Service), що має найвищий рівень критичності для підсектору "Електронні комунікації". Подальші дослідження будуть спрямовані на оптимізацію методу, розширення рекомендацій щодо управління ІТ-загрозами та удосконалення оцінювання комбінованих загроз.