В статье представлены подходы к оценке угроз безопасности информации в том случае, когда владелец информационного ресурса обладает правом самостоятельно выбирать способ такой оценки. Официальный веб-сайт коммерческой организации, представленный в статье, не относится к информационным системам, для которых нормативно установлен порядок оценки угроз безопасности информации, в том числе: информационным системам персональных данных, государственным (муниципальным) информационным системам и пр. Для подготовки статьи были изучены соответствующие нормативные правовые акты и методические документы федеральных органов исполнительной власти Российской Федерации, международные стандарты. В качестве основы взяты методический документ «Методика оценки угроз безопасности информации» (05.02.2021 г.) и стандарт ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». В процессе подготовки статьи авторами разработаны наглядные схемы, отражающие основные этапы оценки угроз безопасности информации (оценки рисков). Указанные этапы реализованы для рассматриваемой информационной системы.