Учебное пособие по ИБ (1027402), страница 12
Текст из файла (страница 12)
Настоящим АТТЕСТАТОМ удостоверяется:_________________________________________________________________________________(полное наименование автоматизированной системы)класс защищённости _______, соответствует требованиям нормативной документации по безопасностиинформации.Состав комплекса технических средств автоматизированной системы (АС) с указанием заводских номеров, модели,изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границконтролируемой зоны, перечень используемых программных средств, а также средств защиты (с указаниемизготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.2.
Организационная структура и уровень подготовки специалистов обеспечивают поддержание уровнязащищенности АС в процессе эксплуатации в соответствии с установленными требованиями.3. Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний,утвержденными руководителем организации (указываются номера документов).4. С учётом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации.5. При эксплуатации АС запрещается:♦ вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;♦ проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации;♦ подключать к основным техническим средствам нештатные блоки и устройства;♦ вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;♦ допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке;♦ производить копирование защищаемой информации на неучтенные магнитные носители информации, в томчисле для временного хранения информации;♦ работать при отключенном заземлении;♦ обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей.6.Контрользавыполнениемреализованныхмерисредствзащитыинформациивозлагается_________________________________________________________________________________________(наименование подразделения, должностного лица, осуществляющего контроль)7.
Результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№__ от ___) ипротоколах испытаний.8. «Аттестат соответствия» выдан на __ года (лет), в течение которых должна быть обеспечена неизменностьусловий функционирования АС и технологии обработки защищаемой информации, могущих повлиять нахарактеристики защищённости АС.Руководитель аттестационной комиссии_________________________________________________________(должность с указанием наименования организации) Ф.И.0.“____”________ 200__ г.================================================================Отметки органа надзора:76Ответственность за правильность эксплуатацииаттестованных ОИ34♦ «Аттестат соответствия» выдается владельцу аттестованногообъекта на период, в течение которого обеспечивается неизменностьусловий функционирования объекта информатизации и технологииобработкизащищаемойинформации,могущихповлиятьнахарактеристики, определяющие безопасность информации (состав иструктура технических средств, условия размещения, используемоепрограммное обеспечение, режимы обработки информации, средства имеры защиты), но не более, чем на 3 года.Владелецаттестованногообъектаинформатизациинесётответственностьзавыполнениеустановленныхусловийфункционирования объекта информатизации, технологии обработкизащищаемой информации и требований по безопасности информации.♦ При выявлении нарушения правил эксплуатации аттестованныхобъектов информатизации, технологии обработки защищаемойинформации и требований по безопасности информации органом,проводящим контроль и надзор, может быть приостановлено илианнулировано действие «Аттестата соответствия», с оформлениемэтого решения в «Аттестате соответствия»77Тема 8«Типовая структура, задачи и функции органов(подразделений, служб) системы ЗИ напредприятии, структура и базовый составорганизационно-распорядительнойдокументации»Лекция, 1 часНОРМАТИВНЫЕ ДОКУМЕНТЫ, ОПРЕДЕЛЯЮЩИЕФУНКЦИИ И ПРАВА ПОДРАЗДЕЛЕНИЙ ПО ЗИ1♦ «Типовое положение о подразделении по защите информацииот иностранных технических разведок и от ее утечки по техническимканалам на предприятии (в учреждении, организации)».(Одобрено решением Гостехкомиссии России от 14 марта 1995 г.
№ 32).♦ «Положение о государственной системе защиты информациив Российской Федерации от иностранных технических разведоки от ее утечки по техническим каналам».(Утверждено постановлением Совета Министров - ПравительстваРоссийской Федерации от 15 сентября 1993 г. № 912–51).♦ «Специальные требования и рекомендации по технической защитеконфиденциальной информации (СТР-К)».(Утверждены приказом Гостехкомиссии России от 30 августа 2002 г.№ 282).♦ Квалификационный справочник должностей руководителей, специалистов и других служащих(Утвержден постановлением Минтруда России от 21 августа 1998 г.№ 37 с изменениями от 21 января, 4 августа 2000 г., 20 апреля 2001 г.)78ПРИНЦИПЫ ОРГАНИЗАЦИИ ПОДРАЗДЕЛЕНИЯПО ЗАЩИТЕ ИНФОРМАЦИИ2Организация работ по защите информации на предприятияхосуществляется их руководителем♦ В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации, либо назначаются штатные специалисты по этим вопросам.♦ Указанные подразделения (штатные специалисты) подчиняютсянепосредственно руководителю предприятия или его заместителю.♦ Подразделение по защите информации является самостоятельнымструктурным подразделением.
Штатная численность подразделенияпо защите информации и его структура определяются руководителемпредприятия.Работники подразделений по защите информации(штатные специалисты) приравниваются по оплате трудак соответствующим категориям работников основныхструктурных подразделений предприятияОСНОВНЫЕ ФУНКЦИИ ПОДРАЗДЕЛЕНИЯПО ЗАЩИТЕ ИНФОРМАЦИИ (1)3♦°Планирование работ по защите информации, организация ихвыполнения.♦ Согласование мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации.♦ Определение:- возможности несанкционированного доступа к информации, еёразрушения (уничтожения) или искажения;- возможных технических каналов утечки конфиденциальнойинформации;- разработка соответствующих мер по защите информации.♦ Участие в разработке модели «нарушителя».♦ Разработка (самостоятельно или совместно с режимными органамии др.) проектов распорядительных документов по вопросаморганизации защиты информации на предприятии.♦ Организация специальных проверок ТС и ЗП (при необходимости).♦ Разработка предложений по совершенствованию системы защитыконфиденциальной информации на предприятии.79ОСНОВНЫЕ ФУНКЦИИ ПОДРАЗДЕЛЕНИЯПО ЗАЩИТЕ ИНФОРМАЦИИ (2)4♦°Разработка совместно с другими основными подразделениямиРуководства по защите информации на предприятии.♦°Участие в разработке требований по защите информации припроектировании, строительстве (реконструкции) и эксплуатацииобъектов информатизации предприятия, участие в создании системызащиты конфиденциальной информации на предприятии.♦ Участие в согласовании ТЗ (ТТЗ) на проведение работ, содержащихконфиденциальную информацию.♦ Проведение периодического контроля эффективности мер зашитыинформации.
Учет и анализ результатов контроля.♦Участие в расследовании нарушений в области защитыинформации на предприятии, разработка предложений по устранениюнедостатков и предупреждению нарушений.♦ Подготовка отчетов о состоянии работ по защите информации.♦°Организация проведения занятий с руководящим составом испециалистами предприятия по вопросам защиты информации.ПРАВА ПОДРАЗДЕЛЕНИЯПО ЗАЩИТЕ ИНФОРМАЦИИ5ПОДРАЗДЕЛЕНИЕ ПО ЗАЩИТЕ ИНФОРМАЦИИ ИМЕЕТ ПРАВО:♦°Допускак работам основных структурных подразделенийпредприятия, использующих в работе КИ.♦°Готовить предложения о привлечении к проведению работ по ЗИпредприятий (учреждений, организаций), имеющих лицензии насоответствующие виды деятельности.♦ Контролировать деятельность любого структурного подразделенияпредприятия по выполнению требований по ЗИ.♦ Участвовать в работе технических комиссий предприятий прирассмотрении вопросов ЗИ.♦ Вносить предложения руководителю предприятия о приостановкеработ в случае обнаружения факта утечки (или предпосылки к утечке)конфиденциальной информации.♦ Получать установленным порядком лицензии на выполнение работпо защите информации и при её получении оказывать услуги в этойобласти другим предприятиям.80РЕКОМЕНДУЕМАЯ СТРУКТУРА ПОДРАЗДЕЛЕНИЯПО ЗАЩИТЕ ИНФОРМАЦИИ6РуководительпредприятияРуководительподразделения позащите информацииОрганизационноплановая группа(специалист(ы)Группа (специалист(ы)средств защитыСпециалист(ы) позащите информации вАС от утечки за счетнесанкционированногодоступа к нейГруппа (специалист(ы)контроляСпециалист(ы) по защитеинформации от утечки поканалам ПЭМИНСТРУКТУРА И СОСТАВ ДОКУМЕТАЦИИПРЕДПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИВиды документации по защите информации♦ Нормативные правовые акты(федеральные законы, указы президента РФ, постановленияправительства, государственные стандарты).♦ Нормативно-технические документы (требования ирекомендации, нормативно-методические документы,руководящие документы - СТР-К, временные методикиоценки защищенности КИ, РД Гостехкомиссии России позащите информации в АС от НСД, ГОСТы и др.).♦ Проектная документация на ОИ и его СЗИ.♦ Организационно-распорядительная документация.♦ Эксплуатационная документация на ОИ и СЗИ.781Рекомендуемый состав проектнойдокументации на объект информатизации8ПРЕДПРОЕКТНАЯ СТАДИЯАналитическое обоснование необходимости создания СЗИАкт классификации АС (ПЭВМ, средств ВТ)Перечень устанавливаемых ОТСС и ВТССТехническое задание на создание (реконструкцию) ОИСТАДИЯ ПРОЕКТИРОВАНИЯТехнический (техно-рабочий) проект на создание (реконструкцию) ОИОписание технического, программного, информационногообеспечения и технологии обработки (передачи) информацииСТАДИЯ ВВОДА ОИ В ЭКСПЛУАТАЦИЮПриемо-сдаточный акт средств ЗИАкты внедрения средств ЗИПротоколы аттестационных испытаний и заключение по их результатамАттестат соответствия ОИ требованиям по безопасности информацииРекомендуемый состав организационноорганизационнораспорядительной документации9ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНАЯ ДОКУМЕНТАЦИЯПРЕДПРИЯТИЯНа предприятии оформляются приказы (указания, решения):♦ на проектирование объекта информатизации и назначениеответственных исполнителей;♦ на проведение работ по защите информации;♦ о назначении лиц, ответственных за эксплуатацию объектаинформатизации;♦ на разрешение обработки в АС (обсуждении в ЗП)конфиденциальной информации.8210Состав эксплуатационной документацииобъекта информатизации по защите информацииЭКСПЛУАТАЦИОННАЯ ДОКУМЕНТАЦИЯ ОИ♦0Технический паспорт объекта информатизации (АС и ЗП).♦0Технологическиеинструкциипользователямадминистратору безопасности информации.АСи♦0Инструкции и руководства по эксплуатации технических ипрограммныхсредствзащитыдляпользователей,администраторов системы, а также для сотрудников службыбезопасности.♦0Нормативная и методическая документация по ЗИ и контролю.♦0Эксплуатационнаяэффективности ЗИ.документациянасредства♦0Сертификаты на ТС и СЗИ.♦0Заключения по результатам спецпроверок ЗП и ТС.контроля83Тема 9«Требования к организации защитыконфиденциальной информации напредприятии (в организации)»Лекция, 1 часОСНОВНЫЕ ПОЛОЖЕНИЯ (1)Защита КИ, обрабатываемой с использованием техническихсредств, является составной частью работ по созданию иэксплуатации объектов информатизации и должнаосуществляться в установленном СТР-К порядке ввиде системы (подсистемы) защиты информацииво взаимосвязи с другими мерами по защите информацииОрганизация и проведение работ по защите КИ при еёобработке техническими средствами определяются СТР-К,государственными стандартами и нормативно-методическимидокументами ФСТЭК (Гостехкомиссии) РоссииДля объектов информатизации, находящихся в эксплуатациидо введения СТР-К, может быть предусмотрен упрощенныйвариант их доработки (модернизации), переоформленияорганизационно распорядительной, технологической иэксплуатационной документации1842ОСНОВНЫЕ ПОЛОЖЕНИЯ (2)Защите подлежит:РечеваяинформацияИнформация,обрабатываемаятехническимисредствамиИнформация, представленнаяв виде информативныхэлектрических сигналов,физических полей, носителейна бумажной, магнитной,магнито-оптической и инойосновеОбъекты защиты:Средства и системыинформатизации,участвующие вобработке КИ (ОТСС),программныесредства обработкиКИТехнические средства исистемы, необрабатывающиенепосредственно КИ, норазмещенные впомещениях, где онаобрабатывается (ВТСС)ЗащищаемыепомещенияОСНОВНЫЕ ПОЛОЖЕНИЯ (3)Защита информации на объекте информатизациидостигается:♦ Выполнением комплекса организационных мероприятий♦ Применением (при необходимости):- средств защиты информации от утечки по техническимканалам или от воздействия на неё;- средств защиты информации от несанкционированногодоступа к ней, по предупреждению преднамеренныхпрограммно-технических воздействий с целью нарушенияцелостности (модификации, уничтожения) информации впроцессе ее обработки, передачи и хранения, нарушения еедоступности и работоспособности технических средств.385ОТВЕТСТВЕННОСТЬ ЗА ОРГАНИЗАЦИЮ РАБОТПО ЗАЩИТЕ ИНФОРМАЦИИ4♦ Ответственность за обеспечение требований по техническойзащитеконфиденциальнойинформациивозлагаетсянаруководителейорганизаций,эксплуатирующихобъектыинформатизации♦ Организация работ по защите информации возлагается наруководителейорганизаций,руководителейподразделений,осуществляющих разработку проектов объектов информатизации иих эксплуатацию♦ Методическое руководство и контроль за эффективностью мерзащиты информации возлагаются на руководителей подразделенийпо защите информации (служб безопасности) организации♦Научно-техническоеруководствоинепосредственнуюорганизацию работ по созданию (модернизации) системы защитыинформации (СЗИ) объекта информатизации осуществляет егоглавныйконструкторилидругоедолжностноелицо,обеспечивающее научно-техническое руководство созданием объектаинформатизацииПОРЯДОК РАЗРАБОТКИ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИ (1)5Разработка СЗИ можетосуществляться:ПодразделениеморганизацииСпециализированнымиорганизациями, имеющими лицензииФСТЭК (Гостехкомиссии) РоссииСлужба безопасности организации-заказчика осуществляет:• методическое руководство и участие в разработке конкретныхтребований по защите информации;• участие в аналитическом обосновании необходимости создания СЗИ;• согласование выбора ОТСС и ВТСС, технических и программныхсредств ЗИ;• участие в организации работ по выявлению возможных каналовутечки информации и нарушения целостности защищаемойинформации;• участие в аттестации объектов информатизации.86ПОРЯДОК РАЗРАБОТКИ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИ (2)6Порядок организации работ по созданию и эксплуатации объектовинформатизации и их СЗИ определяется в разрабатываемом«Положении о порядке организации и проведения работ по защитеконфиденциальной информации» или в приложении к «Руководству позащите информации от утечки по техническим каналам на объекте»и должен предусматривать:• порядок определения защищаемой информации;• порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектовинформатизации и СЗИ, их задачи и функции на различных стадияхсоздания и эксплуатации объекта информатизации;• порядок взаимодействия всех занятых в этой работе организаций,подразделений и специалистов;• порядок разработки, ввода в действие и эксплуатации объектовинформатизации;• ответственность должностных лиц за своевременность и качествоформирования требований по защите информации, за качество инаучно-технический уровень разработки СЗИ.РЕКОМЕНДУЕМЫЕ СТАДИИ СОЗДАНИЯСИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ7♦ Предпроектная стадия, включающая предпроектноеобследованиеобъектаинформатизации,разработкуаналитического обоснования необходимости создания СЗИ итехнического (частного технического) задания на ее создание♦Стадия проектирования(разработки проектов),включающая разработку СЗИ в составе объектаинформатизации♦ Стадия ввода в действие СЗИ, включающая опытнуюэксплуатацию и приемо-сдаточные испытания средствзащиты информации, а также аттестацию объектаинформатизации на соответствие требованиям безопасностиинформации87Перечень работ, выполняемых напредпроектной стадии8• Устанавливается необходимость обработки (обсуждения) КИ информации на данном объекте информатизации.• Определяется перечень сведений конфиденциального характера, подлежащихзащите.• Определяются (уточняются) угрозы безопасности информации и модель вероятногонарушителя применительно к конкретным условиям функционирования объекта.• Определяются условия расположения объекта информатизации относительнограниц КЗ.• Определяются конфигурация и топология ОТСС в целом и их отдельныхкомпонентов, физические, функциональные и технологические связи ОТСС с другимисистемами различного уровня и назначения.• Определяются конкретные технические средства и системы, предполагаемые киспользованию в разрабатываемой АС, условия их расположения, их программныесредства.• Определяются режимы обработки информации в АС в целом и в отдельныхкомпонентах.• Определяется класс защищенности АС.• Определяется степень участия персонала в информации, характер их взаимодействия между собой и со службой безопасности.• Определяются мероприятия по обеспечению конфиденциальности информации наэтапе проектирования объекта информатизации.По результатам предпроектного обследования разрабатываетсяаналитическое обоснование необходимости создания СЗИ изадаются конкретные требования по защите информации, включаемыев техническое (частное техническое) задание на разработку СЗИСодержание аналитического обоснованиянеобходимости создания СЗИ9• Информационная характеристика и организационная структураобъекта информатизации.• Характеристика комплекса ОТСС и ВТСС, ПО, режимов работы,технологического процесса обработки информации.• Возможные каналы утечки информации и перечень мероприятий поих устранению и ограничению.• Перечень предлагаемых к использованию сертифицированных средств защиты информации.• Обоснование необходимости привлечения специализированныхорганизаций.• Оценка материальных, трудовых и финансовых затрат на разработкуи внедрение СЗИ.• Ориентировочные сроки разработки и внедрения СЗИ.• Перечень мероприятий по обеспечению конфиденциальностиинформации на стадии проектирования объекта информатизации.Аналитическое обоснование подписывается руководителем организации,проводившей предпроектное обследование, согласовывается сглавным конструктором (должностным лицом,обеспечивающим научно-техническое руководство созданияобъекта информатизации), руководителем службы безопасностии утверждается руководителем организации-заказчика88Содержание технического (частноготехнического) задания на разработку СЗИ10• Обоснование разработки.• Исходные данные создаваемого (модернизируемого)) объекта информатизации втехническом,, программном,, информационном и организационном аспектах.• Класс защищенности АС.• Ссылка на нормативные документы,, на основании которых будетразрабатываться СЗИ.• Требования к СЗИ на основе нормативно−−методических документов иустановленного класса защищенности АС.• Перечень предполагаемых к использованию сертифицированных средств защитыинформации.• Обоснование проведения разработок собственных средств защиты информации,,невозможности или нецелесообразности использования имеющихся на рынкесертифицированных средств защиты информации.• Состав,, содержание и сроки проведения работ по этапам разработки и внедрения.• Перечень подрядных организаций−−исполнителей видов работ.• Перечень предъявляемой заказчику научно−−технической продукции идокументации..Техническое задание (ТЗ) на проектирование объекта информатизацииоформляется отдельным документом, согласовывается с проектнойорганизацией, службой (специалистом) безопасностиорганизации-заказчика и утверждается заказчикомПеречень работ, выполняемых на стадиипроектирования и создания объектаинформатизации11• разработка задания и проекта на строительные,, строительно−−монтажные работы(или реконструкцию)) объекта информатизации;;• разработка раздела технического проекта на объект информатизации в частиреализации мероприятий по защите информации;;• строительно−−монтажные работы,, размещение и монтаж технических средств исистем;;• разработка организационно−−технических мероприятий по защите информации всоответствии с предъявляемыми требованиями;;• закупка сертифицированных образцов серийно выпускаемых защищенныхтехнических средств,, либо их сертификация;;• закупка сертифицированных технических,, программных и программно−−технических средств защиты информации и их установка;;• разработка (доработка)) или закупка и последующая сертификация по требованиямбезопасности информации программных средств защиты информации (в случаенеобходимости););• организация охраны и физической защиты помещений объекта информатизации;;разработка разрешительной системы доступа пользователей и эксплуатационногоперсонала к защищаемой информации;;• определение и обучение подразделений и лиц,, ответственных за эксплуатациюсредств защиты информации• разработка эксплуатационной документации на объект информатизации,, средствазащиты информации,, и организационно−−распорядительной документации по ЗИ..89Содержание разрабатываемого технического(технотехно-рабочего)рабочего) проекта иэксплуатационной документации12• Пояснительная записка с изложением решений по обеспечению ЗИ,,составу средств защиты информации с указанием их соответствиятребованиям ТЗ.• Описание технического,, программного,, информационногообеспечения и технологии обработки (передачи)) информации.• План организационно−−технических мероприятий по подготовкеобъекта информатизации к внедрению средств и мер защитыинформации.• Технический паспорт объекта информатизации (АС, ЗП).• Инструкция и руководства по эксплуатации технических ипрограммных средств защиты для пользователей,, администраторовсистемы,, а также для сотрудников службы безопасности..Мероприятия по защите информации от утечки по техническимканалам относятся к основным элементам проектных решений,которые включаются в соответствующие разделы проекта,и разрабатываются одновременно с нимиПеречень работ, выполняемых на стадииввода в эксплуатацию объектаинформатизации и СЗИ13• Опытная эксплуатация средств защиты информации в комплексе сдругими техническими и программными средствами в целях проверки ихработоспособности в составе объекта информатизации и отработкитехнологического процесса обработки (передачи) информации.• Приемо-сдаточные испытания средств защиты информации порезультатам опытной эксплуатации с оформлением приемо-сдаточногоакта, подписываемого разработчиком (поставщиком) и заказчиком.• Аттестация объекта информатизации по требованиям безопасностиинформации.Оформляемые документы:♦ Акты внедрения средств защиты информации по результатам ихприемо-сдаточных испытаний.♦ Протоколы аттестационных испытаний и заключение по ихрезультатам.♦ Аттестат соответствия объекта информатизации требованиям побезопасности информации.♦ Приказ (указание, решение) о назначении лиц, ответственных заэксплуатацию объекта информатизации.♦ Приказ (указание, решение) о разрешении обработки в АС(обсуждении в ЗП) конфиденциальной информации.90ОРГАНИЗАЦИЯ КОНТРОЛЯ СОСТОЯНИЯ ЗАЩИТЫКОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИКто проводитСлужбабезопасностиорганизации(внутреннийконтроль)Отраслевые ифедеральныеорганыконтроля14Содержание контроляПериодичностьСвоевременное выявление и предотвращение утечкиинформации по техническим каналам, исключениеили существенное затруднениенесанкционированного доступа к ней ипредотвращение специальных программнотехнических воздействий, вызывающих нарушениеконфиденциальности, целостности или доступностиинформации• Соблюдение требований нормативно-методическихдокументов по защите информации.• Работоспособность применяемых средств защитыинформации в соответствии с их эксплуатационнойдокументацией.• Знание и выполнение персоналом своихфункциональных обязанностей в части обеспечениязащиты информации.1 разв год1 разв 2 годаСобственник или владелец конфиденциальной информации имеетправо обратиться в органы государственной власти для оценкиправильности выполнения норм и требований по защите егоинформации в информационных системахОсобенности проведения некоторых видовконтроля15♦ При проведении аттестации объектов информатизации ипериодическомконтролесостояниязащитыконфиденциальной информации организациями могут, принеобходимости, использоваться «Временные методикиоценки защищенности конфиденциальной информации»♦ При необходимости, по решению руководителяорганизации, могут быть проведены работы по поискуэлектронных устройств съема информации («закладочныхустройств»), возможно внедренных в ЗП или техническиесредства, осуществляемые организациями, имеющимисоответствующие лицензии или ФСБ России (ФАПСИ)91Тема 10Технические каналы утечкиконфиденциальной информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
