FERPA zákon o vzdělávání v USA: Příručka k zabezpečení vzdáleného přístupu

FERPA je americký vzdělávací zákon, který chrání vzdělávací záznamy studentů a určuje, jak školy spravují digitální přístup, vzdálenou práci a software třetích stran. Pro školní IT administrátory a IT týmy ve vyšším vzdělávání není FERPA pouze politikou záznamů. Je to také otázka řízení přístupu řízení dodavatelů a ochrana údajů.

Co je FERPA, zákon o vzdělávání v USA?

FERPA znamená Zákon o rodinných vzdělávacích právech a ochraně soukromí Je to federální zákon o ochraně soukromí ve vzdělávání USA, který chrání soukromí vzdělávacích záznamů studentů. Ministerstvo školství USA zveřejňuje předpisy FERPA podle 34 CFR Část 99 Zákona o všeobecném vzdělávání (GEPA). Tyto předpisy definují práva, pravidla o zveřejnění a povinnosti dodržování pro pokryté vzdělávací instituce. Jinými slovy, tento federální zákon z roku 1974 upravuje přístup k vzdělávacím informacím a záznamům veřejnými subjekty, jako jsou rodiče, studenti a instituce.

Co znamená zkratka FERPA?

FERPA znamená Zákon o rodinných vzdělávacích právech a ochraně soukromí V praxi FERPA poskytuje rodičům a způsobilým studentům práva nad vzdělávacími záznamy. Způsobilý student je obecně student, který dosáhl věku 18 let nebo navštěvuje vyšší vzdělávací instituci, přičemž v tomto okamžiku se práva podle FERPA převádějí z rodiče na studenta.

Pro IT týmy je nejdůležitější bod jednoduchý: FERPA se vztahuje, když systém ukládá, zobrazuje, přenáší nebo poskytuje přístup k osobně identifikovatelným informacím z vzdělávacích záznamů.

Komu se FERPA vztahuje?

FERPA se vztahuje na vzdělávací agentury a instituce, které přijímají prostředky v rámci příslušných programů Ministerstva školství USA. To zahrnuje mnoho škol K-12, školních obvodů, vysokých škol a univerzit.

FERPA se nevztahuje na každou společnost, která používá vzdělávací data. Nicméně, dodavatel softwaru se může zapojit do povinností podle FERPA, když jedná jako školní úředník, dodavatel, konzultant nebo externí poskytovatel služeb pro pokrytou instituci. Na základě výjimky školního úředníka může dodavatel přistupovat k vzdělávacím záznamům pouze tehdy, když vykonává institucionální službu, zůstává pod přímou kontrolou školy a dodržuje omezení FERPA týkající se použití a opětovného zveřejnění.

Jaká studentská data chrání FERPA?

Vzdělávací záznamy

FERPA chrání vzdělávací záznamy, které jsou přímo spojeny se studentem a jsou vedeny vzdělávací agenturou, institucí nebo stranou jednající za tuto agenturu nebo instituci. V prostředích vzdáleného přístupu mohou chráněné informace zahrnovat známky, výpisy, záznamy o docházce, disciplinární spisy, identifikátory studentů, seznamy tříd, záznamy o finanční pomoci a záznamy v systému informací o studentech.

Jiné osobně identifikovatelné informace

FERPA také pokrývá osobně identifikovatelné informace z vzdělávacích záznamů. To je důležité, protože nástroje pro vzdálený přístup nemusí uchovávat záznamy studentů přímo, ale stále mohou vystavit data studentů prostřednictvím obrazovek, souborů, akcí ve schránce, tiskových úloh, protokolů, snímků obrazovky nebo podpůrných relací.

Proč je FERPA důležitá pro Remote Access?

Remote access se rozšiřuje tam, kde vzdělávací systémy může být použito. Učitelé se mohou připojit z domova, administrátoři mohou přistupovat k informačním systémům studentů z mimo areál a IT týmy mohou řešit problémy s zařízeními používanými ve třídách, laboratořích nebo v programech vzdáleného učení.

Taková flexibilita vyvolává otázku podle FERPA: kdo může přistupovat k záznamům studentů, odkud, prostřednictvím jakého nástroje a za jakým účelem?

Vzdělávací záznamy v dálkových relacích

Identifikace hlavní trasy rizika a kontroly

Vzdálená desktopová relace může zobrazovat stejná citlivá data jako pracovní stanice na kampusu. Pokud učitel otevře známkovou knihu prostřednictvím vzdálené relace, relace může odhalit informace chráněné FERPA. Pokud administrátor stáhne zprávu na neřízené zařízení, riziko se přesune z řízeného přístupu k serveru na místní rozšíření dat.

Rámce minimálních oprávnění

FERPA vyžaduje, aby školy používaly rozumné metody k identifikaci a autentizaci stran, které získávají přístup k osobně identifikovatelným informacím z vzdělávacích záznamů. Také vyžaduje rozumné metody k zajištění, že školní úředníci mají přístup pouze k záznamům, ve kterých mají legitimní vzdělávací zájmy.

Zajištění autentizace a přístupu k omezení rizika zveřejnění

Povědomí a prevence

Bezpečnostní problémy vzdáleného přístupu obvykle vyplývají z slabé autentizace, širokých oprávnění, neřízených koncových bodů a vystavených služeb. Přímé vystavení služeb vzdálené plochy internetu může také zvýšit riziko útoků hrubou silou a krádeže přihlašovacích údajů.

Když si nejste jisti, zvolte nejmenší oprávnění.

Pro nasazení s povědomím o FERPA by měly školní IT týmy sladit vzdálený přístup s minimálními oprávněními. Uživatelé by měli mít přístup pouze k aplikacím, desktopům a umístěním souborů, které jsou pro jejich roli nezbytné.

Záměrně definujte přiřazení skupin a uživatelů

Správci by měli také oddělit profily přístupu učitelů, registrátorů, financí, IT podpory a studentů. Tyto různé skupiny mohou mít různé úrovně a oblasti přístupu, a v rámci každé z nich by měly být oprávnění stále přizpůsobena potřebám, použití a odpovědnosti.

Podpora na dálku a správa IT

Remote support může vytvořit vystavení FERPA, i když technik podpory nemá v úmyslu prohlížet studentské záznamy. Technik může vidět studentský záznam, když pomáhá členu personálu, nebo může neobsluhovaná údržbová relace otevřít plochu, kde jsou citlivá data již viditelná. V důsledku toho:

• Z tohoto důvodu by měly být pracovní postupy podpory navrženy s ohledem na souhlas, omezení účelu a minimální viditelnost.
• Kdykoli mohou být uživatelé předem varováni o zásahu, mělo by to být provedeno, aby mohli zavřít citlivé dokumenty, soubory a aplikace.
• Podobně by IT týmy měly, pokud je to možné, uzavřít systémy pro informace o studentech před zahájením podpory, pokud není stanoveno jinak, vyhnout se zbytečnému nahrávání obrazovky a dokumentovat přístup k podpoře v případě, že jsou viditelné vzdělávací záznamy.

FERPA povinnosti pro školy a dodavatele

Shoda s FERPA je institucionální odpovědnost. Software může podporovat kontroly, ale škola určuje politiky, uživatelské role, smlouvy, pravidla přístupu a přijatelné použití.

Odpovědnosti pro školní IT týmy

Školní IT týmy by měly převést FERPA do provozních kontrol. V prostředích pro vzdálený přístup to znamená silnou autentizaci, přístup na základě rolí, bezpečný přenos, monitorování, školení uživatelů a správu dodavatelů.

FERPA vyžaduje, aby školy uchovávaly záznamy o žádostech o přístup a zveřejnění osobně identifikovatelných informací z vzdělávacích záznamů, včetně zúčastněných stran a jejich oprávněných zájmů. To činí auditovatelnost důležitou pro jakýkoli systém, který se dotýká záznamů studentů.

Odpovědnosti pro dodavatele softwaru

Dodavatelé by neměli považovat FERPA za odznak produktu. Ministerstvo školství USA poskytuje pokyny specificky pro poskytovatele služeb třetích stran, dodavatele a dodavatele, kteří zpracovávají vzdělávací data pro školy.

Dodavatel podporující použití v souladu s FERPA by měl pomoci zákazníkům nakonfigurovat bezpečný přístup, omezit zbytečné zpracování dat, chránit přihlašovací údaje, dokumentovat relevantní kontroly a vyhnout se neoprávněnému zpřístupnění. Smlouvy by měly definovat povolené použití, důvěrnost, subdodavatelé, odstranění nebo vrácení dat, přístup k podpoře a oznámení o incidentu.

Vlastněte svá rozhodnutí o shodě

Tento článek poskytuje technické a provozní pokyny pro IT týmy a snaží se vás vybavit základy pro zabezpečení systémů týkajících se informací o studentech. V žádném případě nemůže být považován za právní radu. Školy, okresy a univerzity by měly řádně ověřit předpisy FERPA, objasnit interpretace, upřesnit smlouvy s dodavateli a definovat postupy zveřejňování s kvalifikovaným právním poradcem nebo úředníkem pro ochranu soukromí.

Další předpisy o ochraně soukromí studentů a dětí, které je třeba znát

Regulace USA s širším online rozsahem:

Ačkoli je FERPA zaměřena na USA, týmy IT ve vzdělávání často fungují v rámci širších rámců ochrany soukromí. COPPA se vztahuje na provozovatele webových stránek nebo online služeb zaměřených na děti mladší 13 let, nebo na provozovatele, kteří mají skutečné znalosti o tom, že shromažďují osobní údaje od dětí mladších 13 let.

Ochrana práv žáků, známá jako PPRA, je další americký zákon o ochraně soukromí studentů, který spravuje Ministerstvo školství USA. Ministerstvo identifikuje FERPA a PPRA jako zákony o ochraně soukromí studentů, které spravuje a vynucuje.

Globální směrnice od UNICEF:

V roce 2024 zveřejnila regionální kancelář UNICEF pro ECA praktickou čtyřdílnou zprávu o ochrana dat ve školách , dostupné jako PDF. Část 1 nastavuje scénu a část 2 se globálně zabývá ochranou údajů a soukromím při shromažďování a zpracovávání a během procesu zajišťuje dodržování předpisů. Zahrnují povinnosti, pokyny a kroky stanovené kolem klíčových úvah a souvisejících akcí.

Mezitím se části 3 a 4 zaměřují na technologiemi podporované vyučování a učení a na kybernetické bezpečnostní kontroly. Tyto oblasti se přímo vztahují k vzdálenému přístupu a zpracování dat, přičemž jsou také zdůrazněny body k úvaze a akci.

Evropa a GDPR

Pro globální vzdělávací programy zahrnuje Obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie specifická opatření na ochranu osobních údajů dětí. Evropská komise vysvětluje, že může být vyžadován souhlas rodičů nebo opatrovníků až do věkového prahu, který se liší mezi 13 a 16 lety v závislosti na členském státě.

Regulace podle zemí

V zemích po celém světě stanovují specifické online předpisy rámce pro služby určené mladému publiku. Dva příklady:

• Kod věkově přiměřeného designu ICO Spojeného království, který stanovuje 15 standardů pro online služby, které mohou být přístupné dětem. Kodex zdůrazňuje vestavěnou ochranu a nejlepší zájmy dítěte při návrhu služby.
• Publikace francouzského ministerstva školství týkající se kroků k potlačení šikany nebo pokynů na ochranu údajů studentů uprostřed každodenních školních aktivit.

Kontrolní seznam pro vzdálený přístup FERPA pro školy

Před rozšířením vzdáleného přístupu k systémům, které mohou obsahovat záznamy studentů, by měly školní IT týmy potvrdit následující kontroly.

1. Zajistěte, aby byly šířeny znalosti o základních věcech, jako je používání pseudonymů, zkratek a dalších prostředků pro identifikaci, kde je to možné, stejně jako složitých shodných hesel.
2. Identifikujte, které vzdálené aplikace a pracovní plochy mohou zobrazit vzdělávací záznamy.
3. Ověřte aplikace a třetí strany a používejte ty, které byly schváleny jako nejbezpečnější.
4. Přiřaďte uživatelské skupiny k oprávněným vzdělávacím zájmům.
5. Vynucení vícefaktorové autentizace pro zaměstnance, administrátory a externí uživatele podpory.
6. Plánujte a pravidelně auditujte skupiny, uživatele, jejich potřeby a povolené aplikace nebo oblasti přístupu.
7. Publikujte pouze aplikace, které každá uživatelská skupina potřebuje.
8. Deaktivujte zbytečné funkce schránky, přenosu souborů a tisku, kde je to možné.
9. Omezte vzdálený přístup podle IP adresy, země, role nebo pracovního vzoru (časů), pokud je to vhodné.
10. Vyhněte se zbytečným místním stahováním záznamů studentů na osobní zařízení.
11. Zaznamenávání přístupu k systémům obsahujícím údaje o studentech.
12. Zkontrolujte smlouvy s dodavateli pro použití FERPA, klauzule o opětovném zveřejnění a odstranění.
13. Školit učitele, zaměstnance a podpůrné týmy o bezpečném chování při vzdáleném přístupu.
14. Pravidelně zvyšujte povědomí uživatelů o kybernetických rizicích a o tom, jak chránit data.

Tento kontrolní seznam nenahrazuje program shody s FERPA. Spíše poskytuje IT týmům praktický základ pro snížení zbytečné expozice v pracovních postupech vzdáleného přístupu a vzdálené podpory.

Jak TSplus podporuje vzdálený přístup v souladu s FERPA

TSplus poskytuje bezpečnou platformu pro vzdálený přístup a ochranu infrastruktury, která pomáhá školám implementovat kontroly v souladu s FERPA. Bylo by však zavádějící myslet si, že samotný software činí instituci v souladu. Správně implementovaný a používaný software, jako je sada TSplus, pomáhá školám prosazovat kontroly přístupu, autentizace, monitorování a zpevnění na podporu operací vědomých si FERPA.

TSplus Advanced Security

360° kybernetická ochrana pro aplikační servery

TSplus Advanced Security je náš přední bezpečnostní produkt. Opravdu, částečně závisí vzdálený přístup podle FERPA na ochraně serveru a omezení přístupu. TSplus Advanced Security je vyvinut pro zabezpečení aplikačního serveru a je proto 360° ochranou na frontové linii proti hrozbám. Ochrana proti hrubé síle například je funkce, která sleduje neúspěšné pokusy o přihlášení do systému Windows a automaticky blokuje problematické IP adresy po opakovaných neúspěších.

Robustní bezpečnostní funkce

Pro vzdělávací prostředí to pomáhá snížit riziko neoprávněných pokusů o přístup k vystavené infrastruktuře vzdáleného přístupu. Školy mohou také využít geografickou ochranu, aby umožnily vzdálený přístup pouze z vybraných zemí, nebo použít omezení IP k omezení přístupu na soukromé a schválené IP adresy.

Konfigurace pro splnění FERPA

Doporučené konfigurace s ohledem na FERPA zahrnují povolení ochrany proti hrubé síle, geografické omezení přístupu, pokud je to vhodné, udržování IP whitelistů pro administrativní přístup a používání Ochrana před vydíráním jako součást širšího zpevnění serveru.

TSplus Remote Access

Využití vzdělávání

TSplus Remote Access pomáhá školám publikovat aplikace Windows a pracovní plochy pro pedagogy, studenty a IT personál. Jako vzdělávací řešení poskytuje bezpečný, vícerozměrný přístup k pracovní ploše a doručování aplikací pro vzdělávací a akademické prostředí.

Aplikace kontrol přizpůsobených FERPA

Z pohledu FERPA je hodnota řízený přístup. Místo toho, aby každý uživatel měl široký přístup k plné pracovní stanici nebo síti, mohou IT týmy publikovat pouze požadované aplikace. Učitel může získat přístup k aplikaci pro hodnocení, zatímco registrátor získává přístup k softwaru pro studentské záznamy a student získává pouze aplikaci pro laboratoř. Skupiny a uživatelé jsou konfigurovatelní na podrobné úrovni, dokonce i podle jejich časů a zařízení.

MFA a zabezpečení přihlášení

Software také podporuje dvoufaktorovou autentizaci pro webový portál, včetně připojení HTML5 a RemoteApp. Pro uživatele s povoleným MFA naše dokumentace zdůrazňuje, že standardní připojení klienta Microsoft Remote Desktop jsou zamítnuta, což podporuje bezpečnější vzory přístupu na webu.

TSplus Server Monitoring

FERPA se netýká pouze blokování přístupu. Týká se také udržování přehledu o systémech, kde mohou být zpracovávány údaje studentů. TSplus Server Monitoring poskytuje historická a aktuální data o serverech, webových stránkách, aplikacích a uživatelích, s aktuálními zprávami a upozorněními pro infrastrukturu vzdálené práce.

Pro vzdělávací IT týmy může monitoring pomoci odhalit přetížené servery, neobvyklé vzorce používání, problémy s výkonem a dostupností, které ovlivňují vzdálené učení nebo administrativní systémy. Monitoring sám o sobě neprokazuje shodu s FERPA, ale podporuje odpovědnost a provozní odolnost.

TSplus Remote Support

TSplus Remote Support poskytuje asistenci na dálku s přítomností a bez přítomnosti pro týmy a klienty. TSplus podporuje vzdálené ovládání plochy, sdílení obrazovky, asistenci s přítomností, údržbu bez přítomnosti a vzdálené školení.

Pro podporu s ohledem na FERPA by školy měly nakonfigurovat pracovní postupy podpory tak, aby technici měli přístup ke všemu, co je nezbytné, ale pouze k tomu, co potřebují. Přítomné relace mohou být výhodnější, když mohou být viditelné informace o studentech. Nepřítomný přístup by měl být omezen na spravovaná zařízení, zdokumentované účely a autorizovaná údržbová okna.

Etika a pozicování vývoje TSplus

Soulad s FERPA patří vzdělávací instituci, podporovaný právními dohodami, interními politikami a technickými opatřeními. Software TSplus pomáhá poskytovat tato opatření prostřednictvím svých produktů a služeb: bezpečný vzdálený přístup, zpevnění serveru, monitorování sítě a řízenou podporu.

Z pohledu vývojové etiky jsou soukromí od začátku, minimalizace dat a kontrola zákazníka centrální. Software pro vzdálený přístup by měl vyhýbat zbytečnému přístupu k obsahu studentů, poskytovat administrátorům možnosti konfigurace, podporovat bezpečné výchozí nastavení a usnadnit školám uplatňování principu nejmenších oprávnění.

Prostřednictvím robustních pečlivě vyvinutých produktů se TSplus snaží pomoci školním IT administrátorům a týmům vyššího vzdělávání snížit riziko podle FERPA, zatímco udržují vzdálený přístup praktický.

Závěr

FERPA, americký zákon o vzdělávání, chrání vzdělávací záznamy studentů a přímo ovlivňuje, jak školy spravují vzdálený přístup, vzdálenou podporu a software třetích stran. Pro IT týmy se FERPA překládá do autentizace, minimálních oprávnění, zabezpečených relací, auditovatelnosti, správy dodavatelů a disciplinovaných pracovních postupů podpory.

TSplus Advanced Security a celý software TSplus může školám pomoci vytvářet bezpečnější prostředí pro vzdálený přístup, zatímco institucím poskytuje prostor přizpůsobit každé nastavení jejich specifickým potřebám a použití. Konečná shoda s FERPA závisí na politikách, konfiguraci, smlouvách a právním přezkumu každé instituce. Vyzkoušejte TSplus zdarma a objevte, jak jsou akce na zajištění shody s FERPA výrazně podporovány tak jednoduchými a všestrannými nástroji, jako je software TSplus.