TSplus Advanced Security Logo

Искате ли да видите сайта на друг език?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Смяна на език
Съдържание
Banner for article "FERPA US education law: Guide to Securing Remote Access", with illustration, TSplus Advanced Security logo and website.

FERPA е закон за образованието в САЩ, който защитава образователните записи на учениците и определя как училищата управляват цифровия достъп, дистанционната работа и софтуера на трети страни. За ИТ администраторите в училищата и ИТ екипите в висшето образование, FERPA не е само политика за записи. То е също така въпрос на контрол на достъпа управление на доставчици и защита на данните.

Какво е FERPA, законът за образованието в САЩ?

FERPA означава Семейният закон за образователни права и поверителност Това е федерален закон за защита на личните данни в образованието в САЩ, който защитава личната информация на учебните записи на студентите. Министерството на образованието на САЩ публикува регулации на FERPA съгласно 34 CFR Част 99 от Закона за общото образование (GEPA). Те определят права, правила за разкриване и задължения за спазване за покритите образователни институции. С други думи, този федерален закон от 1974 г. регулира достъпа до образователна информация и записи от публични субекти като родители, студенти и институции.

Какво означава FERPA?

FERPA означава Семейният закон за образователни права и поверителност На практика, FERPA предоставя на родителите и допустимите студенти права върху образователните записи. Допустимият студент обикновено е студент, който е навършил 18 години или посещава висше учебно заведение, след което правата по FERPA преминават от родителя към студента.

За ИТ екипите най-важната точка е проста: FERPA се прилага, когато система съхранява, показва, предава или предоставя достъп до лична информация от образователни записи.

На кого се прилага FERPA?

FERPA се прилага за образователни агенции и институции, получаващи средства по приложимите програми на Министерството на образованието на САЩ. Това включва много училища от K-12, училищни райони, колежи и университети.

FERPA не се прилага за всяка компания, използваща образователни данни. Въпреки това, доставчик на софтуер може да бъде ангажиран с FERPA задължения, когато действа като служител на училище, изпълнител, консултант или аутсорсинг доставчик на услуги за покрито учреждение. Според изключението за служител на училище, изпълнителят може да получи достъп до образователни записи само когато извършва институционална услуга, остава под прякото управление на училището и спазва ограниченията на FERPA относно използването и повторното разкриване.

Какви данни за студентите защитава FERPA?

Образователни записи

FERPA защитава образователните записи, които са пряко свързани с ученика и се поддържат от образователна агенция, институция или страна, действаща от името на тази агенция или институция. В среди за дистанционен достъп защитената информация може да включва оценки, транскрипти, записи за присъствие, дисциплинарни файлове, идентификатори на ученици, списъци на класовете, записи за финансова помощ и записи в система за информация за ученици.

Друга лична информация, която може да идентифицира лице

FERPA също обхваща лична информация, която може да бъде идентифицирана от образователни записи. Това е важно, защото инструментите за дистанционен достъп може да не съхраняват директно студентски записи, но все пак могат да изложат данни за студенти чрез екрани, файлове, действия с клипборда, печатни задания, журнали, екранни снимки или сесии за поддръжка.

Защо FERPA е важен за Remote Access?

Отдалеченият достъп се разширява, където образователни системи може да се използва. Учителите могат да се свързват от дома, администраторите могат да получават достъп до системите за информация на студентите извън кампуса, а ИТ екипите могат да отстраняват проблеми с устройствата, използвани в класните стаи, лабораториите или програмите за дистанционно обучение.

Тази гъвкавост създава въпрос по FERPA: кой може да получи достъп до студентски записи, откъде, чрез кой инструмент и с каква цел?

Образователни записи в отдалечени сесии

Идентифициране на основния маршрут на риска и контрола

Отдалечената работна сесия може да показва същите чувствителни данни като работна станция на кампуса. Ако учител отвори книга с оценки чрез отдалечена сесия, сесията може да разкрие информация, защитена от FERPA. Ако администратор изтегли отчет на неуправлявано устройство, рискът преминава от контролиран достъп до сървъра към локално разпространение на данни.

Рамки на най-малките привилегии

FERPA изисква училищата да използват разумни методи за идентифициране и удостоверяване на страните, които получават достъп до лична информация от образователни записи. Тя също така изисква разумни методи, за да се гарантира, че училищните служители имат достъп само до записи, в които имат легитимни образователни интереси.

Синхронизиране на удостоверяване и достъп за ограничаване на риска от разкритие

Осведоменост и превенция

Проблемите със сигурността на отдалечения достъп обикновено произтичат от слаба автентикация, широки разрешения, неуправляеми крайни точки и изложени услуги. Пряката експозиция на услуги за отдалечен работен плот в интернет също може да увеличи риска от атаки с брутфорс и натрупване на удостоверения.

Когато имате съмнения, изберете най-ниските права.

За внедрявания, съобразени с FERPA, ИТ екипите на училищата трябва да съгласуват отдалечения достъп с принципа на минималните права. Потребителите трябва да имат достъп само до приложенията, работните станции и местата за файлове, необходими за тяхната роля.

Умишлено определете групови и потребителски назначения

Администраторите също трябва да разделят профилите за достъп на учители, регистратори, финанси, ИТ поддръжка и студенти. Тези различни групи могат да получават различни нива и области на достъп, а в рамките на всяка от тях, разрешенията все още трябва да бъдат адаптирани спрямо нуждите, употребата и отговорността.

Отдалечена поддръжка и ИТ администрация

Отдалечената поддръжка може да създаде експозиция на FERPA, дори когато техникът по поддръжка не възнамерява да преглежда студентски записи. Техник може да види студентски запис, докато помага на член на персонала, или неуправлявана сесия за поддръжка може да отвори работен плот, където чувствителни данни вече са видими. Следователно:

  • Поради тази причина, работните потоци за поддръжка трябва да бъдат проектирани около съгласие, ограничаване на целта и минимална видимост.
  • Всякога, когато потребителите могат да бъдат предупредени за интервенция, това трябва да се направи, за да могат да затворят чувствителни документи, файлове и приложения.
  • По подобен начин, когато е възможно, ИТ екипите трябва да затворят системите за информация на студентите преди да започне поддръжката, освен ако не е предписано друго, да избягват ненужно записване на екрана и да документират достъпа до поддръжка в случай, че образователните записи са видими.

TSplus Remote Support Безплатен Пробен период

Ценово ефективна Посещавана и Непосещавана Дистанционна помощ от/до macOS и Windows ПК.

Започнете безплатен пробен период

Отговорности на FERPA за училища и доставчици

Съответствието с FERPA е институционална отговорност. Софтуерът може да поддържа контроли, но училището определя политики, роли на потребителите, договори, правила за достъп и приемлива употреба.

Отговорности на ИТ екипите в училищата

IT екипите в училищата трябва да преведат FERPA в оперативни контролни мерки. В среди за отдалечен достъп това означава силна автентикация, достъп на базата на роли, сигурен транспорт, мониторинг, обучение на потребителите и управление на доставчиците.

FERPA изисква училищата да поддържат записи на искания за достъп и разкрития на лична информация от образователни записи, включително страните, участващи в тях, и техните законни интереси. Това прави одитируемостта важна за всяка система, която засяга студентските записи.

Отговорности на софтуерните доставчици

Доставчиците не трябва да третират FERPA като продуктова значка. Министерството на образованието на САЩ предоставя насоки специално за доставчици на услуги от трети страни, доставчици и изпълнители, които обработват образователни данни за училища.

Доставчик, който поддържа използването в съответствие с FERPA, трябва да помогне на клиентите да конфигурират сигурен достъп, да ограничат ненужната обработка на данни, да защитят удостоверенията, да документират съответните контроли и да избегнат неразрешено повторно разкриване. Договорите трябва да определят допустима употреба, конфиденциалност, подизпълнители, изтриване или връщане на данни, достъп до поддръжка и уведомление за инциденти.

Вземете контрол над решенията си за съответствие

Тази статия предоставя технически и оперативни насоки за ИТ екипи и цели да ви осигури основни знания за навигация при осигуряване на системи, свързани с информация за студенти. По никакъв начин не може да се счита за правен съвет. Училищата, районите и университетите трябва да валидират съответно регулациите на FERPA, да уточнят интерпретациите, да усъвършенстват споразуменията с доставчици и да определят практиките за разкриване с квалифициран правен съветник или служител по защита на личните данни.

Други регламенти за поверителност на учениците и децата, които трябва да знаете

Регламент на САЩ с по-широк онлайн обхват:

Въпреки че FERPA е съсредоточен в САЩ, екипите по ИТ в образованието често работят в рамките на по-широки рамки за поверителност. COPPA се прилага за оператори на уебсайтове или онлайн услуги, насочени към деца под 13 години, или оператори, които имат действителни познания, че събират лична информация от деца под 13 години.

Законът за защита на правата на учениците, известен като PPRA, е друг закон за защита на личните данни на учениците в САЩ, управляван от Министерството на образованието на САЩ. Министерството определя FERPA и PPRA като закони за защита на личните данни на учениците, които управлява и прилага.

Глобални директиви от УНИЦЕФ:

През 2024 г. регионалният офис на УНИЦЕФ за Източна Европа и Централна Азия публикува практичен четиричасов доклад за защита на данните в училищата достъпен като PDF. Част 1 задава сцената, а част 2 е глобално свързана с защита на данните и личната неприкосновеност при събиране и обработка, като по време на процеса осигурява съответствие. Те включват задължения, насоки и стъпки, свързани с ключови съображения и свързани действия.

Междувременно част 3 и 4 се фокусират върху преподаването и ученето с помощта на технологии и върху контрола на киберсигурността. Последните области са пряко свързани с отдалечен достъп и обработка на данни, като също така са подчертано важни точки за разглеждане и действие.

Европа и GDPR

За глобалните образователни програми Общият регламент на Европейския съюз за защита на данните (GDPR) включва специфични мерки за защита на личните данни на децата. Европейската комисия обяснява, че може да се изисква съгласие от родител или настойник до възрастова граница, която варира между 13 и 16 години в зависимост от държавата членка.

Регулации по държави

В страните по света онлайн-специфичните регулации задават рамки за услуги, насочени към млада публика. Два примера:

  • Кодексът за проектиране, подходящ за възрастта, на ICO на Обединеното кралство, който определя 15 стандарта за онлайн услуги, вероятно достъпни за деца. Кодексът подчертава вградената защита и най-добрите интереси на детето при проектирането на услугите.
  • Публикациите на френското министерство на образованието относно стъпките за ограничаване на тормоза или указанията за защита на данните на учениците в контекста на ежедневните училищни дейности.

Чеклист за Remote Access на FERPA за училища

Преди да разширят отдалечения достъп до системи, които могат да съдържат студентски записи, ИТ екипите на училищата трябва да потвърдят следните контроли.

  1. Уверете се, че знанието се разпространява относно основни неща, като използването на псевдоними, акроними и други средства за идентификация, където е възможно, както и сложни съответстващи пароли.
  2. Идентифицирайте кои отдалечени приложения и работни станции могат да показват образователни записи.
  3. Проверявайте приложенията и доставчиците на трети страни и използвайте одобрените като най-сигурни.
  4. Картографирайте потребителските групи към легитимни образователни интереси.
  5. Наложете многофакторна автентикация за служители, администратори и външни потребители на поддръжка.
  6. Планирайте и редовно одитирайте групи, потребители, техните нужди и разрешени приложения или области на достъп.
  7. Публикувайте само приложенията, от които се нуждае всяка потребителска група.
  8. Деактивирайте ненужните функции за копиране в клипборда, пренос на файлове и печат, където е възможно.
  9. Ограничете отдалечения достъп по IP адрес, държава, роля или работен график (часове), когато е уместно.
  10. Избягвайте ненужното локално изтегляне на студентски записи на лични устройства.
  11. Достъп до системи, съдържащи данни за студенти.
  12. Прегледайте споразуменията с доставчиците за използване на FERPA, клаузи за повторно разкриване и изтриване.
  13. Обучете учители, персонал и екипи за поддръжка относно безопасното поведение при отдалечен достъп.
  14. Редовно информирайте потребителите за кибер рисковете и как да запазят данните си в безопасност.

Този контролен списък не замества програмата за съответствие с FERPA. Вместо това предоставя на ИТ екипите практическа основа за намаляване на избежимото излагане в работните потоци за отдалечен достъп и отдалечена поддръжка.

Как TSplus поддържа отдалечен достъп, съответстващ на FERPA

TSplus предоставя сигурна платформа за отдалечен достъп и защита на инфраструктурата, която помага на училищата да внедрят контроли, съответстващи на FERPA. Въпреки това, би било заблуждаващо да се смята, че само софтуерът прави институцията съвместима. Правилно внедрен и използван, софтуер като пакета TSplus помага на училищата да прилагат контроли за достъп, удостоверяване, мониторинг и укрепване, за да подкрепят операции, съобразени с FERPA.

TSplus Advanced Security

360° кибер защита за приложения сървъри

TSplus Advanced Security е нашият водещ продукт за сигурност. Всъщност, отчасти, FERPA отдалечен достъп зависи от защита на сървъра и ограничаване на достъпа. TSplus Advanced Security е разработен за сигурност на приложен сървър и следователно е 360° охрана на предната линия срещу заплахи. Защита от груба сила например, е функция, която следи неуспешните опити за вход в Windows и автоматично блокира нарушаващите IP адреси след повторни неуспехи.

Здрави функции за сигурност

За образователни среди това помага за намаляване на риска от неразрешени опити за достъп до изложената инфраструктура за отдалечен достъп. Училищата могат също да използват Географска защита, за да разрешат отдалечен достъп само от избрани държави или да използват IP ограничения, за да ограничат достъпа до частни и одобрени IP адреси.

Конфигурации за спазване на FERPA

Препоръчителните конфигурации, съобразени с FERPA, включват активиране на Brute Force Protection, ограничаване на достъпа географски, когато е уместно, поддържане на IP whitelists за административен достъп и използване на Защита срещу рансъмуер като част от по-широкото укрепване на сървъра.

TSplus Remote Access

Използване в образованието

TSplus Remote Access помага на училищата да публикуват Windows приложения и десктопи за преподаватели, студенти и ИТ персонал. Като образователно решение, то предоставя сигурен, многопотребителски Remote Desktop Access и Application Delivery за образователни и академични среди.

Прилагане на контролни мерки, адаптирани към FERPA

От гледна точка на FERPA, стойността е контролираният достъп. Вместо да предоставят на всеки потребител широк достъп до пълна работна станция или мрежа, ИТ екипите могат да публикуват само необходимите приложения. Учител може да получи достъп до приложение за оценяване, докато регистратор получава достъп до софтуер за студентски записи, а студентът получава само приложение за лаборатория. Групите и потребителите могат да се конфигурират на детайлно ниво, дори по отношение на времето и устройствата им.

MFA и сигурност при влизане

Софтуерът също така поддържа двуфакторна автентикация за уеб портала, включително HTML5 и RemoteApp връзки. За потребители с активирана MFA, нашата документация подчертава, че стандартните връзки на Microsoft Remote Desktop клиента са отказани, което поддържа по-безопасни уеб базирани модели на достъп.

TSplus Сървърно наблюдение

FERPA не е само за блокиране на достъп. Тя също така е свързана с поддържането на видимост в системите, където могат да се обработват данни на студенти. TSplus Server Monitoring предоставя исторически и в реално време данни за сървъри, уебсайтове, приложения и потребители, с отчети и известия в реално време за инфраструктурата за дистанционна работа.

За образователните ИТ екипи мониторингът може да помогне за откриване на претоварени сървъри, необичайни модели на използване, проблеми с производителността и проблеми с наличността, които засягат дистанционното обучение или административните системи. Мониторингът сам по себе си не доказва съответствие с FERPA, но подкрепя отчетността и оперативната устойчивост.

TSplus Remote Support

TSplus Remote Support предоставя присъствана и непристъствана дистанционна помощ за екипи и клиенти. TSplus поддържа дистанционно управление на работния плот, споделяне на екрана, присъствана помощ, непристъствана поддръжка и дистанционно обучение.

За поддръжка, съобразена с FERPA, училищата трябва да конфигурират работните потоци за поддръжка, така че техниците да имат достъп до всичко необходимо, но само до това, от което се нуждаят. Присъствените сесии може да са предпочитани, когато информацията за учениците може да бъде видима. Достъпът без присъствие трябва да бъде ограничен до управлявани устройства, документирани цели и упълномощени времеви прозорци за поддръжка.

Етика и позициониране на TSplus разработка

Съответствието с FERPA принадлежи на образователната институция, подкрепено от правни споразумения, вътрешни политики и технически мерки за защита. Софтуерът на TSplus помага да се предоставят тези мерки за защита чрез своите продукти и услуги: сигурен дистанционен достъп, укрепване на сървъра, мониторинг на мрежата и контролирана поддръжка.

От гледна точка на етиката на разработката, защитата на личните данни по дизайн, минимизацията на данните и контролът на клиентите са централни. Софтуерът за отдалечен достъп трябва да избягва ненужния достъп до съдържанието на учениците, да предоставя на администраторите възможности за конфигуриране, да поддържа сигурни настройки по подразбиране и да улеснява училищата в прилагането на принципа на най-малкия достъп.

Чрез здрави, внимателно разработени продукти, TSplus цели да помогне на ИТ администраторите в училищата и екипите в висшето образование да намалят риска от FERPA, като същевременно запазят практичността на отдалечения достъп.

Заключение

FERPA, законът за образованието в САЩ, защитава образователните записи на студентите и пряко влияе на начина, по който училищата управляват отдалечен достъп, отдалечена поддръжка и софтуер на трети страни. За ИТ екипите FERPA се превежда на удостоверяване, минимални права, сигурни сесии, възможност за одит, управление на доставчици и дисциплинирани работни потоци за поддръжка.

TSplus Advanced Security и наистина цялото предложение на TSplus софтуер може да помогне на училищата да изградят по-безопасни среди за отдалечен достъп, като оставят на институциите пространство да адаптират всяка настройка според специфичните си нужди и употреба. Финалната съвместимост с FERPA зависи от политиките, конфигурацията, договорите и правния преглед на всяка институция. Изпробвайте TSplus безплатно и открийте как действията за съвместимост с FERPA са значително подпомогнати от толкова прости универсални инструменти като софтуера на TSplus.

TSplus Remote Access Безплатен Пробен период

Краен алтернативен вариант на Citrix/RDS за достъп до десктоп/приложения. Сигурен, икономичен, локален/облачен.

Започнете безплатен пробен период

Споделяне:

Facebook Twitter LinkedIn

Вашият екип на TSplus

Допълнително четене

TSplus Remote Desktop Access - Advanced Security Software

Може ли Remote Desktop да бъде хакнат? Практически риск за предотвратяване

Може ли да бъде хакнат Remote Desktop? Да, remote desktop може да бъде хакнат. Използвайте практическа оценка на риска, за да намалите експозицията, да укрепите идентичността и да осигурите RDP, HTML5 портали и VDI достъп.

Прочетете статията →
back to top of the page icon