TSplus Advanced Security Logo

Chceli by ste vidieť stránku v inom jazyku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmeniť jazyk
Obsah
Banner for article "FERPA US education law: Guide to Securing Remote Access", with illustration, TSplus Advanced Security logo and website.

FERPA zákon o vzdelávaní v USA chráni záznamy o vzdelávaní študentov a formuje spôsob, akým školy spravujú digitálny prístup, prácu na diaľku a softvér tretích strán. Pre IT administrátorov škôl a IT tímy vo vyššom vzdelávaní nie je FERPA len politikou záznamov. Je to tiež otázka prístupu-kontroly správa dodávateľov a ochrana údajov.

Čo je zákon FERPA o vzdelávaní v USA?

FERPA znamená Zákon o rodinnej vzdelávacej ochrane a súkromí Je to federálny zákon o ochrane súkromia vzdelávania v USA, ktorý chráni súkromie vzdelávacích záznamov študentov. Ministerstvo školstva USA zverejňuje predpisy FERPA podľa 34 CFR Časť 99 Zákona o všeobecnom vzdelávaní (GEPA). Definujú práva, pravidlá zverejňovania a povinnosti dodržiavania pre pokryté vzdelávacie inštitúcie. Inými slovami, tento federálny zákon z roku 1974 v USA upravuje prístup k vzdelávacím informáciám a záznamom verejnými subjektmi, ako sú rodičia, študenti a inštitúcie.

Čo znamená skratka FERPA?

FERPA znamená Zákon o rodinnej vzdelávacej ochrane a súkromí V praxi FERPA poskytuje rodičom a oprávneným študentom práva nad vzdelávacími záznamami. Oprávnený študent je zvyčajne študent, ktorý dosiahol vek 18 rokov alebo navštevuje vysokú školu, pričom práva FERPA sa prenášajú od rodiča na študenta.

Pre IT tímy je najdôležitejším bodom jednoduché: FERPA sa uplatňuje, keď systém uchováva, zobrazuje, prenáša alebo poskytuje prístup k osobne identifikovateľným informáciám z vzdelávacích záznamov.

Komu sa vzťahuje FERPA?

FERPA sa vzťahuje na vzdelávacie agentúry a inštitúcie, ktoré prijímajú prostriedky v rámci platných programov Ministerstva školstva USA. To zahŕňa mnohé základné a stredné školy, školské obvody, vysoké školy a univerzity.

FERPA sa nevzťahuje na každú spoločnosť, ktorá používa vzdelávacie údaje. Avšak, dodávateľ softvéru sa môže zapojiť do povinností podľa FERPA, keď pôsobí ako školský úradník, dodávateľ, konzultant alebo externý poskytovateľ služieb pre pokrytú inštitúciu. Podľa výnimky školského úradníka môže dodávateľ pristupovať k vzdelávacím záznamom iba vtedy, keď vykonáva inštitucionálnu službu, zostáva pod priamou kontrolou školy a dodržiava obmedzenia FERPA týkajúce sa použitia a opätovného zverejnenia.

Aké študentské údaje chráni FERPA?

Vzdelávacie záznamy

FERPA chráni vzdelávacie záznamy, ktoré sú priamo spojené so študentom a sú spravované vzdelávacou agentúrou, inštitúciou alebo stranou konajúcou v mene tejto agentúry alebo inštitúcie. V prostrediach vzdialeného prístupu môžu chránené informácie zahŕňať známky, výpisy, záznamy o dochádzke, disciplinárne spisy, identifikátory študentov, zoznamy tried, záznamy o finančnej pomoci a záznamy v systéme informácií o študentoch.

Iné osobne identifikovateľné informácie

FERPA sa tiež vzťahuje na osobne identifikovateľné informácie z vzdelávacích záznamov. To je dôležité, pretože nástroje na vzdialený prístup nemusia priamo ukladať záznamy študentov, ale môžu stále vystaviť údaje študentov prostredníctvom obrazoviek, súborov, akcií na schránke, tlačových úloh, protokolov, snímok obrazovky alebo podporných relácií.

Prečo je FERPA dôležitá pre Remote Access?

Remote access sa rozširuje tam, kde vzdelávacie systémy môže byť použitý. Učitelia sa môžu pripojiť z domu, administrátori môžu pristupovať k informačným systémom študentov z mimo kampusu a IT tímy môžu riešiť problémy s zariadeniami používanými v triedach, laboratóriách alebo programoch diaľkového vzdelávania.

Takáto flexibilita vytvára otázku podľa FERPA: kto môže pristupovať k záznamom študentov, odkiaľ, prostredníctvom ktorého nástroja a na aký účel?

Vzdelávacie záznamy v diaľkových reláciách

Identifikácia hlavnej trasy rizika a kontroly

Diaľková pracovná relácia môže zobraziť rovnaké citlivé údaje ako pracovná stanica na kampuse. Ak učiteľ otvorí knihu známok prostredníctvom diaľkovej relácie, relácia môže odhaliť informácie chránené FERPA. Ak administrátor stiahne správu na neovládané zariadenie, riziko sa presúva z kontrolovaného prístupu na server na miestne rozšírenie údajov.

Rámce minimálnych oprávnení

FERPA vyžaduje, aby školy používali primerané metódy na identifikáciu a autentifikáciu strán, ktoré získavajú prístup k osobne identifikovateľným informáciám z vzdelávacích záznamov. Taktiež vyžaduje primerané metódy na zabezpečenie, že školskí úradníci majú prístup iba k záznamom, v ktorých majú legitímny vzdelávací záujem.

Zladenie autentifikácie a prístupu na obmedzenie rizika zverejnenia

Povedomie a prevencia

Problémy so zabezpečením vzdialeného prístupu zvyčajne vyplývajú zo slabého overovania, širokých oprávnení, neovládaných koncových bodov a vystavených služieb. Priame vystavenie služieb vzdialeného pracovného stola internetu môže tiež zvýšiť riziko útokov hrubou silou a naplnenia poverení.

Keď máte pochybnosti, zvoľte najmenšie oprávnenie.

Pre nasadenia s vedomím FERPA by mali školské IT tímy zosúladiť vzdialený prístup s minimálnymi oprávneniami. Používatelia by mali mať prístup iba k aplikáciám, desktopom a umiestneniam súborov, ktoré sú potrebné pre ich úlohu.

Úmyselne definovať priradenia skupín a používateľov

Administrátori by mali tiež oddeliť profily prístupu učiteľov, registrátorov, financií, IT podpory a študentov. Tieto rôzne skupiny môžu dostávať rôzne úrovne a oblasti prístupu a v rámci každej by sa autorizácie mali stále prispôsobovať potrebám, používaniu a zodpovednosti.

Podpora na diaľku a správa IT

Podpora na diaľku môže vytvoriť vystavenie FERPA, aj keď technik podpory nemá v úmysle prezerať si záznamy študentov. Technik môže vidieť záznam študenta, keď pomáha zamestnancovi, alebo môže nevenovaná údržbová relácia otvoriť pracovnú plochu, kde sú už citlivé údaje viditeľné. Dôsledkom toho:

  • Z tohto dôvodu by mali byť pracovné postupy podpory navrhnuté okolo súhlasu, obmedzenia účelu a minimálnej viditeľnosti.
  • Kedykoľvek môžu byť používatelia varovaní o zásahu, malo by sa to urobiť, aby mohli zatvoriť citlivé dokumenty, súbory a aplikácie.
  • Podobne, keď je to možné, by IT tímy mali uzavrieť systémy informácií o študentoch pred začiatkom podpory, pokiaľ nie je predpísané inak, vyhnúť sa zbytočnému nahrávaniu obrazovky a zdokumentovať prístup k podpore v prípade, že sú viditeľné vzdelávacie záznamy.

TSplus Bezplatná skúšobná verzia vzdialenej podpory

Nákladovo efektívna asistencia s prítomnosťou a bez prítomnosti z diaľky z/do macOS a Windows PC.

Začnite bezplatnú skúšobnú verziu

Zodpovednosti FERPA pre školy a dodávateľov

Dodržiavanie FERPA je zodpovednosťou inštitúcie. Softvér môže podporovať kontroly, ale škola určuje politiky, používateľské úlohy, zmluvy, pravidlá prístupu a prijateľné používanie.

Zodpovednosti pre IT tímy škôl

Školské IT tímy by mali preložiť FERPA do prevádzkových kontrol. V prostrediach vzdialeného prístupu to znamená silnú autentifikáciu, prístup založený na rolách, bezpečný prenos, monitorovanie, školenie používateľov a správu dodávateľov.

FERPA vyžaduje, aby školy uchovávali záznamy o žiadostiach o prístup a zverejneniach osobne identifikovateľných informácií z vzdelávacích záznamov, vrátane zúčastnených strán a ich oprávnených záujmov. To robí auditovateľnosť dôležitou pre akýkoľvek systém, ktorý sa dotýka záznamov študentov.

Zodpovednosti pre dodávateľov softvéru

Predajcovia by nemali považovať FERPA za označenie produktu. Ministerstvo školstva USA poskytuje usmernenia špecificky pre poskytovateľov služieb tretích strán, predajcov a dodávateľov, ktorí spracovávajú vzdelávacie údaje pre školy.

Predajca podporujúci použitie v súlade s FERPA by mal pomôcť zákazníkom nakonfigurovať bezpečný prístup, obmedziť zbytočné spracovanie údajov, chrániť poverenia, dokumentovať relevantné kontroly a vyhnúť sa neoprávnenému zverejneniu. Zmluvy by mali definovať povolené použitie, dôvernosť, subdodávatelia, vymazanie alebo vrátenie údajov, prístup k podpore a oznámenie o incidente.

Vlastnite svoje rozhodnutia o súlade

Tento článok poskytuje technické a operačné usmernenia pre IT tímy a snaží sa vás vybaviť základmi na navigáciu zabezpečenia systémov týkajúcich sa informácií o študentoch. V žiadnom prípade nemôže byť považovaný za právne poradenstvo. Školy, okresy a univerzity by mali riadne overiť predpisy FERPA, objasniť interpretácie, zdokonaliť zmluvy s dodávateľmi a definovať praktiky zverejňovania s kvalifikovaným právnym poradcom alebo úradníkom pre ochranu osobných údajov.

Iné predpisy o ochrane súkromia študentov a detí, ktoré je potrebné poznať

US regulácia s širším online dosahom:

Hoci je FERPA zameraná na USA, tímy IT v oblasti vzdelávania často fungujú v rámci širších rámcov ochrany súkromia. COPPA sa vzťahuje na prevádzkovateľov webových stránok alebo online služieb zameraných na deti mladšie ako 13 rokov, alebo na prevádzkovateľov, ktorí majú skutočné vedomosti o tom, že zbierajú osobné údaje od detí mladších ako 13 rokov.

Ochrana práv žiakov, známa ako PPRA, je ďalší zákon o ochrane súkromia študentov v USA, ktorý spravuje Ministerstvo školstva USA. Ministerstvo identifikuje FERPA a PPRA ako zákony o ochrane súkromia študentov, ktoré spravuje a vynucuje.

Globálne smernice od UNICEF:

V roku 2024 zverejnila regionálna kancelária UNICEF pre ECA praktickú správu v štyroch častiach o ochrana údajov v školách k dispozícii ako PDF. Časť 1 nastavuje scénu a časť 2 sa celosvetovo zaoberá ochranou údajov a súkromím pri zhromažďovaní a spracovaní a počas procesu zabezpečuje dodržiavanie predpisov. Zohľadňujú povinnosti, usmernenia a kroky stanovené okolo kľúčových úvah a súvisiacich akcií.

Medzitým sa časti 3 a 4 zameriavajú na technológiou podporované vyučovanie a učenie a na kybernetické bezpečnostné opatrenia. Tieto oblasti sa priamo týkajú vzdialeného prístupu a spracovania údajov, pričom sú zvýraznené aj body na zváženie a akciu.

Európa a GDPR

Pre globálne vzdelávacie programy sa Všeobecné nariadenie o ochrane údajov (GDPR) Európskej únie týka špecifických záruk pre osobné údaje detí. Európska komisia vysvetľuje, že súhlas rodiča alebo opatrovníka môže byť potrebný až do vekového prahu, ktorý sa líši medzi 13 a 16 v závislosti od členského štátu.

Regulácie podľa krajín

V krajinách po celom svete online špecifické predpisy stanovujú rámce pre služby určené pre mladé publikum. Dva príklady:

  • Kód vekovo primeraného dizajnu ICO Spojeného kráľovstva, ktorý stanovuje 15 štandardov pre online služby, ktoré môžu byť prístupné deťom. Kód zdôrazňuje zabudovanú ochranu a najlepšie záujmy dieťaťa pri navrhovaní služieb.
  • Publikácie francúzskeho ministerstva školstva týkajúce sa krokov na obmedzenie šikanovania alebo pokynov na ochranu údajov študentov v priebehu každodenných školských aktivít.

FERPA kontrolný zoznam pre vzdialený prístup pre školy

Pred rozšírením vzdialeného prístupu k systémom, ktoré môžu obsahovať záznamy študentov, by mali školské IT tímy potvrdiť nasledujúce kontroly.

  1. Zabezpečte, aby sa šíril vedomosti o základných aspektoch, ako je používanie pseudonymov, akronymov a iných prostriedkov na identifikáciu, kde je to možné, ako aj zložitých súladných hesiel.
  2. Identifikujte, ktoré vzdialené aplikácie a pracovné plochy môžu zobrazovať vzdelávacie záznamy.
  3. Overte aplikácie a dodávateľov tretích strán a používajte tie, ktoré sú schválené ako najbezpečnejšie.
  4. Mapujte používateľské skupiny na legitímne vzdelávacie záujmy.
  5. Vynútiť viacfaktorovú autentifikáciu pre zamestnancov, administrátorov a externých používateľov podpory.
  6. Plánujte a pravidelne kontrolujte skupiny, používateľov, ich potreby a povolené aplikácie alebo oblasti prístupu.
  7. Zverejnite iba aplikácie, ktoré každá skupina používateľov potrebuje.
  8. Zakážte zbytočné funkcie schránky, prenosu súborov a tlače, kde je to možné.
  9. Obmedzte vzdialený prístup podľa IP adresy, krajiny, úlohy alebo pracovného vzoru (časy), ak je to vhodné.
  10. Vyhnite sa zbytočným miestnym sťahovaniam študentských záznamov na osobné zariadenia.
  11. Zaznamenávanie prístupu k systémom obsahujúcim údaje študentov.
  12. Skontrolujte zmluvy s dodávateľmi na použitie podľa FERPA, klauzuly o opätovnom sprístupnení a vymazaní.
  13. Školenie učiteľov, zamestnancov a podporných tímov o bezpečnom správaní pri vzdialenom prístupe.
  14. Pravidelne zvyšujte povedomie používateľov o kybernetických rizikách a o tom, ako udržiavať dáta v bezpečí.

Tento kontrolný zoznam nenahrádza program dodržiavania FERPA. Namiesto toho poskytuje IT tímom praktický základ na zníženie zbytočnej expozície v pracovných postupoch vzdialeného prístupu a vzdialenej podpory.

Ako TSplus podporuje vzdialený prístup v súlade s FERPA

TSplus poskytuje bezpečnú platformu na vzdialený prístup a ochranu infraštruktúry, ktorá pomáha školám implementovať kontroly v súlade s FERPA. Avšak by bolo zavádzajúce myslieť si, že samotný softvér robí inštitúciu súladnou. Správne implementovaný a používaný softvér ako súprava TSplus pomáha školám presadzovať prístup, autentifikáciu, monitorovanie a zabezpečovacie kontroly na podporu operácií, ktoré sú si vedomé FERPA.

TSplus Advanced Security

360° kybernetická ochrana pre aplikačné servery

TSplus Advanced Security je náš popredný bezpečnostný produkt. Skutočne, čiastočne, vzdialený prístup podľa FERPA závisí od ochrany servera a obmedzenia prístupu. TSplus Advanced Security je vyvinutý na zabezpečenie aplikačného servera a je preto 360° strážcom na prvej línii proti hrozbám. Ochrana pred hrubou silou je funkcia, ktorá monitoruje neúspešné pokusy o prihlásenie do systému Windows a automaticky blokuje problematické IP adresy po opakovaných neúspechoch.

Robustné bezpečnostné funkcie

Pre vzdelávacie prostredia to pomáha znížiť riziko neoprávnených pokusov o prístup k vystavenej infraštruktúre vzdialeného prístupu. Školy môžu tiež využiť geografickú ochranu na povolenie vzdialeného prístupu iba z vybraných krajín alebo použiť obmedzenie IP na obmedzenie prístupu na súkromné a schválené IP adresy.

Konfigurácie na splnenie FERPA

Odporúčané konfigurácie s vedomím FERPA zahŕňajú povolenie ochrany proti hrubej sile, obmedzenie prístupu geograficky, keď je to vhodné, udržiavanie IP bielych zoznamov pre administratívny prístup a používanie Ochrana pred vydieracím softvérom ako súčasť širšieho zabezpečenia servera.

TSplus Remote Access

Využitie vzdelávania

TSplus Remote Access pomáha školám publikovať aplikácie Windows a pracovné plochy pre pedagógov, študentov a IT personál. Ako vzdelávacie riešenie poskytuje bezpečný, viacužívateľský prístup k vzdialenej pracovnej ploche a dodávku aplikácií pre vzdelávacie a akademické prostredia.

Aplikovanie kontrol prispôsobených FERPA

Z pohľadu FERPA je hodnota kontrolovaný prístup. Namiesto toho, aby sa každému používateľovi poskytol široký prístup k plnej pracovnej stanici alebo sieti, môžu IT tímy publikovať iba požadované aplikácie. Učiteľ môže získať prístup k aplikácii na hodnotenie, zatiaľ čo registrátor získa prístup k softvéru na spracovanie študentských záznamov a študent získa iba aplikáciu pre laboratórium. Skupiny a používatelia sú konfigurovateľní na podrobnej úrovni, dokonca aj podľa ich časov a zariadení.

MFA a bezpečnosť prihlásenia

Softvér tiež podporuje dvojfaktorovú autentifikáciu pre webový portál, vrátane pripojení HTML5 a RemoteApp. Pre používateľov s povoleným MFA naša dokumentácia zdôrazňuje, že štandardné pripojenia klienta Microsoft Remote Desktop sú zamietnuté, čo podporuje bezpečnejšie vzory prístupu na webe.

TSplus Server Monitoring

FERPA sa netýka len blokovania prístupu. Taktiež ide o udržiavanie prehľadu o systémoch, kde môžu byť spracovávané údaje študentov. TSplus Server Monitoring poskytuje historické a aktuálne údaje o serveroch, webových stránkach, aplikáciách a používateľoch, s aktuálnymi správami a upozorneniami pre infraštruktúru vzdialenej práce.

Pre vzdelávacie IT tímy môže monitorovanie pomôcť odhaliť preťažené servery, nezvyčajné vzory používania, problémy s výkonom a otázky dostupnosti, ktoré ovplyvňujú vzdialené učenie alebo administratívne systémy. Monitorovanie samo o sebe nepreukazuje súlad s FERPA, ale podporuje zodpovednosť a operačnú odolnosť.

TSplus Remote Support

TSplus Remote Support poskytuje asistenciu na diaľku s prítomnosťou aj bez prítomnosti pre tímy a klientov. TSplus podporuje vzdialenú kontrolu plochy, zdieľanie obrazovky, asistenciu s prítomnosťou, údržbu bez prítomnosti a vzdialené školenie.

Pre podporu uvedomujúcu si FERPA by školy mali nastaviť pracovné postupy podpory tak, aby technici mali prístup ku všetkému potrebnému, ale len k tomu, čo potrebujú. Prítomné relácie môžu byť preferovateľné, keď môže byť viditeľné študentské informácie. Neprítomný prístup by mal byť obmedzený na spravované zariadenia, zdokumentované účely a autorizované údržbové okná.

TSplus Etika vývoja a pozicionovanie

Dodržiavanie FERPA patrí vzdelávacej inštitúcii, podporovanej právnymi dohodami, internými politikami a technickými zabezpečeniami. Softvér TSplus pomáha poskytovať tieto zabezpečenia prostredníctvom svojich produktov a služieb: bezpečný vzdialený prístup, zabezpečenie servera, monitorovanie siete a kontrolovaná podpora.

Z hľadiska etiky vývoja sú súkromie od začiatku, minimalizácia údajov a kontrola zákazníka kľúčové. Softvér na vzdialený prístup by mal zabrániť zbytočnému prístupu k obsahu študentov, poskytnúť administrátorom možnosti konfigurácie, podporovať bezpečné predvolené nastavenia a uľahčiť školám uplatňovanie minimálnych oprávnení.

Cez robustné, starostlivo vyvinuté produkty sa TSplus snaží pomôcť školským IT administrátorom a tímom vyššieho vzdelávania znížiť riziko FERPA, pričom udržuje praktický prístup na diaľku.

Záver

FERPA, americký zákon o vzdelávaní, chráni vzdelávacie záznamy študentov a priamo ovplyvňuje, ako školy spravujú vzdialený prístup, vzdialenú podporu a softvér tretích strán. Pre IT tímy sa FERPA prekladá do autentifikácie, minimálnych oprávnení, zabezpečených relácií, auditu, správy dodávateľov a disciplinovaných pracovných postupov podpory.

TSplus Advanced Security a skutočne celý softvérový balík TSplus môže školám pomôcť vytvoriť bezpečnejšie prostredia pre vzdialený prístup, pričom ponecháva inštitúciám priestor na prispôsobenie každého nastavenia ich konkrétnym potrebám a používaniu. Konečná zhoda s FERPA závisí od politík, konfigurácie, zmlúv a právneho preskúmania každej inštitúcie. Vyskúšajte TSplus zadarmo a objavte, ako sú akcie na zabezpečenie zhody s FERPA výrazne podporované takými jednoduchými a všestrannými nástrojmi, akými sú softvérové produkty TSplus.

TSplus Bezplatná skúšobná verzia vzdialeného prístupu

Konečná alternatíva Citrix/RDS pre prístup k desktopu/aplikáciám. Bezpečné, nákladovo efektívne, na mieste/cloud

Začnite bezplatnú skúšobnú verziu

Zdieľať:

Facebook Twitter LinkedIn

Váš tím TSplus

Ďalšie čítanie

back to top of the page icon