Схема безопасности просто ограничивает "видимость" заячки. Права доступа - возможность что-то делать с этой заявкой. Например, роль девелопер может только комментить заявку, а роль qa - переводить из статуса в статус. С помощью схемы безопасности можно ограничить будет ли заявца в принципе видна, например, qa или девелоперу.
Если честно, то в 99% случаев эта фигня не применяется. Это для Бизнесс процессов, связнных с кадрами, например, или внутренними запросами. Когда у заявки по-умолчанию будет стоять схема безопасности "Только Рукводитель", а остальным "все остальные".