TSplus Advanced Security Logo

Хотите увидеть сайт на другом языке?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Сменить язык
Содержание
Banner for article "FERPA US education law: Guide to Securing Remote Access", with illustration, TSplus Advanced Security logo and website.

FERPA - это закон об образовании США, который защищает образовательные записи студентов и определяет, как школы управляют цифровым доступом, удаленной работой и программным обеспечением третьих сторон. Для ИТ-администраторов школ и ИТ-команд высшего образования FERPA - это не только политика ведения записей. Это также вопрос контроля доступа управление поставщиками и конфиденциальность данных.

Что такое закон об образовании FERPA в США?

FERPA означает Закон о семейных образовательных правах и конфиденциальности Это федеральный закон США о конфиденциальности образования, который защищает конфиденциальность образовательных записей студентов. Министерство образования США публикует правила FERPA в соответствии с 34 CFR Часть 99 Закона о общем образовании (GEPA). Они определяют права, правила раскрытия информации и обязательства по соблюдению для охваченных образовательных учреждений. Другими словами, этот федеральный закон США 1974 года регулирует доступ к образовательной информации и записям со стороны государственных организаций, таких как родители, студенты и учреждения.

Что означает FERPA?

FERPA означает Закон о семейных образовательных правах и конфиденциальности На практике FERPA предоставляет родителям и правомочным студентам права на образовательные записи. Правомочным студентом обычно является студент, который достиг 18-летнего возраста или посещает учебное заведение после средней школы, после чего права FERPA переходят от родителя к студенту.

Для ИТ-команд самый важный момент прост: FERPA применяется, когда система хранит, отображает, передает или предоставляет доступ к личной идентифицируемой информации из образовательных записей.

Кому применяется FERPA?

FERPA применяется к образовательным учреждениям и организациям, получающим средства в рамках соответствующих программ Министерства образования США. Это включает в себя многие школы K-12, школьные округа, колледжи и университеты.

FERPA не применяется ко всем компаниям, использующим образовательные данные. Однако поставщик программного обеспечения может стать вовлеченным в обязательства FERPA, когда он действует как школьный служащий, подрядчик, консультант или аутсорсинговый поставщик услуг для охваченного учреждения. В соответствии с исключением для школьных служащих подрядчик может получить доступ к образовательным записям только в том случае, если он выполняет институциональную услугу, остается под прямым контролем школы и соблюдает ограничения FERPA на использование и повторное раскрытие.

Какие данные студентов защищает FERPA?

Записи об образовании

FERPA защищает образовательные записи, которые непосредственно связаны со студентом и хранятся образовательным учреждением, организацией или стороной, действующей от имени этого учреждения или организации. В средах удаленного доступа защищенная информация может включать оценки, транскрипты, записи посещаемости, дисциплинарные дела, идентификаторы студентов, списки классов, записи о финансовой помощи и записи внутри системы информации о студентах.

Другие персонально идентифицируемые данные

FERPA также охватывает личную идентифицируемую информацию из образовательных записей. Это важно, потому что инструменты удаленного доступа могут не хранить записи студентов напрямую, но они все равно могут раскрывать данные студентов через экраны, файлы, действия с буфером обмена, задания на печать, журналы, скриншоты или сеансы поддержки.

Почему FERPA важен для удаленного доступа?

Удаленный доступ расширяется, где образовательные системы может быть использовано. Учителя могут подключаться из дома, администраторы могут получать доступ к системам информации о студентах вне кампуса, а ИТ-команды могут устранять неполадки устройств, используемых в классах, лабораториях или программах удаленного обучения.

Такая гибкость создает вопрос по FERPA: кто может получить доступ к записям студентов, откуда, через какой инструмент и с какой целью?

Записи об образовании в удаленных сессиях

Определение основного маршрута риска и контроля

Удаленная сессия рабочего стола может отображать те же конфиденциальные данные, что и рабочая станция на кампусе. Если учитель открывает журнал оценок через удаленную сессию, сессия может раскрыть информацию, защищенную FERPA. Если администратор загружает отчет на неуправляемое устройство, риск перемещается с контролируемого доступа к серверу на локальное распространение данных.

Рамки наименьших привилегий

FERPA требует от школ использовать разумные методы для идентификации и аутентификации сторон, которые получают доступ к личной идентифицируемой информации из образовательных записей. Он также требует разумных методов для обеспечения того, чтобы школьные должностные лица получали доступ только к записям, в которых у них есть законные образовательные интересы.

Согласование аутентификации и доступа для снижения риска раскрытия информации

Осведомленность и предотвращение

Проблемы безопасности удаленного доступа обычно возникают из-за слабой аутентификации, широких разрешений, неуправляемых конечных устройств и открытых сервисов. Прямое открытие служб удаленного рабочего стола в Интернете также может увеличить риск атак методом подбора паролей и использования учетных данных.

При сомнении выбирайте наименьшие привилегии

Для развертываний, соответствующих FERPA, школьные ИТ-команды должны согласовать удаленный доступ с принципом наименьших привилегий. Пользователи должны иметь доступ только к приложениям, рабочим столам и файловым местам, необходимым для их роли.

Преднамеренно определите назначения групп и пользователей

Администраторы также должны разделять профили доступа для учителей, регистраторов, финансов, ИТ-поддержки и студентов. Эти разные группы могут получать различные уровни и области доступа, и в каждой из них авторизации все равно должны быть адаптированы к потребностям, использованию и ответственности.

Удаленная поддержка и администрирование ИТ

Удаленная поддержка может создать риск раскрытия информации в соответствии с FERPA, даже если технический специалист не намерен просматривать записи студентов. Технический специалист может увидеть запись студента, помогая сотруднику, или несанкционированная сессия обслуживания может открыть рабочий стол, на котором уже видны конфиденциальные данные. В результате:

  • По этой причине рабочие процессы поддержки должны быть разработаны с учетом согласия, ограничения цели и минимальной видимости.
  • Когда пользователи могут быть предупреждены о вмешательстве, это следует сделать, чтобы они могли закрыть конфиденциальные документы, файлы и приложения.
  • Аналогично, когда это возможно, ИТ-команды должны закрывать системы информации о студентах перед началом поддержки, если не указано иное, избегать ненужной записи экрана и документировать доступ к поддержке в случае, если образовательные записи видны.

TSplus Бесплатная пробная версия удаленной поддержки

Эффективная по стоимости удаленная помощь с присутствием и без присутствия от/к macOS и Windows ПК.

Начать бесплатную пробную версию

Обязанности FERPA для школ и поставщиков

Соблюдение FERPA является институциональной ответственностью. Программное обеспечение может поддерживать контроль, но школа определяет политики, роли пользователей, контракты, правила доступа и приемлемое использование.

Обязанности для ИТ-команд школ

Команды ИТ в школах должны перевести FERPA в операционные контроли. В средах удаленного доступа это означает сильную аутентификацию, доступ на основе ролей, безопасную передачу, мониторинг, обучение пользователей и управление поставщиками.

FERPA требует от школ вести учет запросов на доступ и раскрытие личной идентифицируемой информации из образовательных записей, включая вовлеченные стороны и их законные интересы. Это делает возможность аудита важной для любой системы, которая касается записей студентов.

Обязанности для поставщиков программного обеспечения

Поставщики не должны рассматривать FERPA как знак качества продукта. Министерство образования США предоставляет рекомендации специально для сторонних поставщиков услуг, продавцов и подрядчиков, которые обрабатывают образовательные данные для школ.

Поставщик, поддерживающий использование в соответствии с FERPA, должен помочь клиентам настроить безопасный доступ, ограничить ненужную обработку данных, защитить учетные данные, задокументировать соответствующие меры контроля и избежать несанкционированного повторного раскрытия. Контракты должны определять разрешенное использование, конфиденциальность, субподрядчики, удаление или возврат данных, доступ к поддержке и уведомление о происшествиях.

Владейте своими решениями по соблюдению норм

Эта статья предоставляет технические и операционные рекомендации для ИТ-команд и стремится оснастить вас основами для обеспечения безопасности систем, касающихся информации о студентах. Она ни в коем случае не может считаться юридической консультацией. Школы, округа и университеты должны должным образом проверять правила FERPA, уточнять интерпретации, уточнять соглашения с поставщиками и определять практики раскрытия информации с квалифицированным юридическим консультантом или специалистом по защите данных.

Другие правила конфиденциальности студентов и детей, о которых следует знать

Регулирование США с более широким онлайн охватом:

Хотя FERPA ориентирован на США, команды ИТ в образовании часто работают в рамках более широких стандартов конфиденциальности. COPPA применяется к операторам веб-сайтов или онлайн-сервисов, направленных на детей младше 13 лет, или к операторам, которые фактически знают, что они собирают личную информацию от детей младше 13 лет.

Защита прав учащихся, или PPRA, является еще одним законом о конфиденциальности студентов в США, который администрируется Министерством образования США. Министерство определяет FERPA и PPRA как законы о конфиденциальности студентов, которые оно администрирует и обеспечивает их соблюдение.

Глобальные директивы от ЮНИСЕФ:

В 2024 году региональный офис ЮНИСЕФ для ЕКА опубликовал практический четырехчастный отчет о защита данных в школах доступен в формате PDF. Часть 1 задает контекст, а часть 2 касается глобальной защиты данных и конфиденциальности при сборе и обработке, а также обеспечения соблюдения в процессе. Они включают обязательства, рекомендации и шаги, установленные вокруг ключевых аспектов и связанных действий.

Тем временем, части 3 и 4 сосредоточены на обучении и обучении с использованием технологий, а также на контроле кибербезопасности. Последние области напрямую связаны с удаленным доступом и обработкой данных, также выделены моменты для рассмотрения и действий.

Европа и GDPR

Для глобальных образовательных программ Общий регламент защиты данных Европейского Союза (GDPR) включает в себя специальные меры защиты персональных данных детей. Европейская комиссия объясняет, что может потребоваться согласие родителей или опекунов до достижения возрастного порога, который варьируется от 13 до 16 лет в зависимости от государства-члена.

Регулирование по странам

В странах по всему миру онлайн-специфические регуляции устанавливают рамки для услуг, ориентированных на молодую аудиторию. Два примера:

  • Кодекс дизайна, соответствующий возрасту, ICO Великобритании, который устанавливает 15 стандартов для онлайн-сервисов, к которым, вероятно, будут обращаться дети. Кодекс подчеркивает встроенную защиту и наилучшие интересы ребенка в дизайне услуг.
  • Публикации французского министерства образования о мерах по борьбе с запугиванием и рекомендациях по защите данных студентов в условиях повседневной школьной деятельности.

Чек-лист по удаленному доступу FERPA для школ

Перед расширением удаленного доступа к системам, которые могут содержать записи студентов, школьные ИТ-команды должны подтвердить следующие меры контроля.

  1. Убедитесь, что знания распространяются о таких основах, как использование псевдонимов, аббревиатур и других средств идентификации, где это возможно, а также о сложных соответствующих паролях.
  2. Определите, какие удаленные приложения и рабочие столы могут отображать образовательные записи.
  3. Проверяйте приложения и сторонних поставщиков и используйте те, которые одобрены как наиболее безопасные.
  4. Сопоставьте группы пользователей с законными образовательными интересами.
  5. Обеспечьте многофакторную аутентификацию для сотрудников, администраторов и пользователей внешней поддержки.
  6. Планируйте и регулярно проверяйте группы, пользователей, их потребности и разрешенные приложения или области доступа.
  7. Публикуйте только те приложения, которые нужны каждой группе пользователей.
  8. Отключите ненужные функции буфера обмена, передачи файлов и печати, где это возможно.
  9. Ограничьте удаленный доступ по IP-адресу, стране, роли или рабочему графику (времени), когда это уместно.
  10. Избегайте ненужных локальных загрузок записей студентов на личные устройства.
  11. Логирование доступа к системам, содержащим данные студентов.
  12. Проверьте соглашения с поставщиками на предмет использования FERPA, условий повторного раскрытия и удаления.
  13. Обучите учителей, сотрудников и команды поддержки безопасному поведению при удаленном доступе.
  14. Регулярно информируйте пользователей о киберрисках и о том, как защитить данные.

Этот контрольный список не заменяет программу соблюдения FERPA. Скорее, он предоставляет ИТ-командам практическую основу для снижения избегаемого воздействия в рабочих процессах удаленного доступа и удаленной поддержки.

Как TSplus поддерживает удаленный доступ в соответствии с FERPA

TSplus предоставляет безопасную платформу для удаленного доступа и защиты инфраструктуры, которая помогает школам внедрять меры контроля, соответствующие FERPA. Однако было бы неправильно думать, что только программное обеспечение делает учреждение соответствующим. Правильно внедренное и используемое программное обеспечение, такое как пакет TSplus, помогает школам обеспечивать контроль доступа, аутентификации, мониторинга и усиления для поддержки операций, осведомленных о FERPA.

TSplus Advanced Security

360° киберзащита для серверов приложений

TSplus Advanced Security является нашим передовым продуктом безопасности. Действительно, отчасти удаленный доступ по FERPA зависит от защиты сервера и ограничения доступа. TSplus Advanced Security разработан для безопасности серверов приложений и, следовательно, является защитой на переднем крае против угроз на 360°. Защита от грубой силы например, это функция, которая отслеживает неудачные попытки входа в Windows и автоматически блокирует нарушающие IP-адреса после повторных неудач.

Надежные функции безопасности

Для образовательных учреждений это помогает снизить риск несанкционированных попыток доступа к открытой инфраструктуре удаленного доступа. Школы также могут использовать Географическую Защиту, чтобы разрешить удаленный доступ только из выбранных стран, или использовать ограничение по IP, чтобы ограничить доступ к частным и внесенным в белый список IP-адресам.

Конфигурации для соответствия FERPA

Рекомендуемые конфигурации, учитывающие FERPA, включают включение защиты от грубой силы, ограничение доступа по географическому положению, когда это уместно, поддержание IP-списков для административного доступа и использование Защита от программ-вымогателей в рамках более широкой защиты сервера.

TSplus Удаленный доступ

Использование в образовании

TSplus Remote Access помогает школам публиковать приложения Windows и рабочие столы для преподавателей, студентов и ИТ-персонала. В качестве образовательного решения он предоставляет безопасный, многопользовательский Remote Desktop Access и Application Delivery для образовательных и академических сред.

Применение контролей, адаптированных к FERPA

С точки зрения FERPA, ценность заключается в контролируемом доступе. Вместо того чтобы предоставлять каждому пользователю широкий доступ к полной рабочей станции или сети, ИТ-команды могут публиковать только необходимые приложения. Учитель может получить доступ к приложению для ведения оценок, в то время как регистратор получает доступ к программному обеспечению для работы со студенческими записями, а студент получает только лабораторное приложение. Группы и пользователи настраиваются на детальном уровне, даже по времени и устройствам.

MFA и безопасность входа

Программное обеспечение также поддерживает двухфакторную аутентификацию для веб-портала, включая соединения HTML5 и RemoteApp. Для пользователей с включенной MFA наша документация подчеркивает, что стандартные соединения клиента Microsoft Remote Desktop отклоняются, что поддерживает более безопасные веб-доступы.

Мониторинг сервера TSplus

FERPA касается не только блокировки доступа. Это также связано с поддержанием видимости в системах, где могут обрабатываться данные студентов. TSplus Server Monitoring предоставляет исторические и актуальные данные о серверах, веб-сайтах, приложениях и пользователях, с актуальными отчетами и уведомлениями для инфраструктуры удаленной работы.

Для образовательных ИТ-команд мониторинг может помочь выявить перегруженные серверы, необычные модели использования, проблемы с производительностью и вопросы доступности, влияющие на удаленное обучение или административные системы. Мониторинг сам по себе не подтверждает соответствие FERPA, но поддерживает подотчетность и операционную устойчивость.

TSplus Remote Support

TSplus Remote Support предоставляет как присутствующую, так и неприступную удаленную помощь для команд и клиентов. TSplus поддерживает удаленное управление рабочим столом, совместное использование экрана, присутствующую помощь, неприступное обслуживание и удаленное обучение.

Для поддержки, соответствующей FERPA, школы должны настраивать рабочие процессы поддержки так, чтобы технические специалисты имели доступ ко всему необходимому, но только к тому, что им нужно. Посещаемые сеансы могут быть предпочтительнее, когда информация о студентах может быть видна. Неавторизованный доступ должен быть ограничен управляемыми устройствами, документированными целями и авторизованными окнами обслуживания.

Этика и позиционирование разработки TSplus

Соблюдение FERPA принадлежит образовательному учреждению, поддерживаемому юридическими соглашениями, внутренними политиками и техническими мерами безопасности. Программное обеспечение TSplus помогает обеспечить эти меры безопасности через свои продукты и услуги: безопасный удаленный доступ, укрепление серверов, мониторинг сети и контролируемую поддержку.

С точки зрения этики разработки, конфиденциальность по умолчанию, минимизация данных и контроль со стороны клиента являются центральными. Программное обеспечение для удаленного доступа должно избегать ненужного доступа к контенту студентов, предоставлять администраторам выбор конфигурации, поддерживать безопасные настройки по умолчанию и облегчать школам применение принципа наименьших привилегий.

Через надежные, тщательно разработанные продукты TSplus стремится помочь ИТ-администраторам школ и командам высшего образования снизить риски, связанные с FERPA, сохраняя при этом практичность удаленного доступа.

Заключение

FERPA — закон об образовании в США, который защищает образовательные записи студентов и напрямую влияет на то, как школы управляют удаленным доступом, удаленной поддержкой и сторонним программным обеспечением. Для ИТ-команд FERPA означает аутентификацию, минимальные привилегии, безопасные сессии, возможность аудита, управление поставщиками и дисциплинированные рабочие процессы поддержки.

TSplus Advanced Security и действительно, весь ассортимент программного обеспечения TSplus может помочь школам создать более безопасные среды удаленного доступа, оставляя учреждениям пространство для настройки каждой конфигурации в соответствии с их конкретными потребностями и использованием. Окончательное соблюдение FERPA зависит от политики, конфигурации, контрактов и юридической проверки каждого учреждения. Попробуйте TSplus бесплатно и узнайте, как действия по соблюдению FERPA значительно поддерживаются такими простыми универсальными инструментами, как программное обеспечение TSplus.

TSplus Бесплатная пробная версия удаленного доступа

Ультимативная альтернатива Citrix/RDS для доступа к рабочему столу/приложениям. Безопасно, экономично, на месте/в облаке

Начать бесплатную пробную версию

Поделиться:

Facebook Twitter LinkedIn

Ваша команда TSplus

Дальнейшее чтение

TSplus Remote Desktop Access - Advanced Security Software

Насколько безопасен компьютер, подвергнутый воздействию через удаленный рабочий стол?

Узнайте, как оценить риск удаленного рабочего стола через проверки конечных точек, сетевой уязвимости и учетных записей, а затем защитите удаленные соединения с помощью TSplus Advanced Security.

Читать статью →
TSplus Remote Desktop Access - Advanced Security Software

Можно ли взломать удаленный рабочий стол? Практический риск-оценка для предотвращения

Можно ли взломать удаленный рабочий стол? Да, удаленный рабочий стол можно взломать. Используйте практическую оценку риска, чтобы снизить уязвимость, укрепить идентификацию и обеспечить безопасность RDP, HTML5 порталов и доступа к VDI.

Читать статью →
back to top of the page icon