Подсистема «Логическое разграничение доступа»

Этот подраздел посвящен описанию подсистемы логического разграничения доступа к данным ИАС «ИСТИНА».

Основные определения

Регистрация пользователя в системе

процедура создания учётной записи. В ИАС «ИСТИНА» пользователь регистрируется самостоятельно. При этом, на первом шаге он вводит логин, пароль и адрес электронной почты. Логин и пароль будут использоваться для дальнейшей аутентификации. После получения на указанную почту письма с кодом подтверждения, регистрацию можно продолжить. На втором шаге пользователь должен ввести фамилию, имя и отчество (при наличии), которые будут указаны на его общедоступной странице в системе.

Регистрация организации в системе

процедура создания объекта «Организация». В ИАС «ИСТИНА» регистрацию организаций производит системный администратор. Данная процедура предполагает дальнейшее назначение ответственного по этой организации, который будет формировать её структуру и назначать ответственных по структурным подразделениям.

Аутентификация

процедура проверки легальности пользователя или данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования.

Авторизация

процедура предоставления определённому лицу или группе лиц прав на выполнение определённых действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Авторизация производит контроль доступа легальных пользователей к ресурсам системы после успешного прохождения ими аутентификации. Часто процедуры аутентификации и авторизации совмещаются.

Права доступа

совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы (информации, её носителям, процессам и другим ресурсам) установленных правовыми документами или собственником, владельцем информации. Права доступа определяют набор действий (например, чтение, запись, выполнение), разрешённых для выполнения субъектам (например, пользователям системы) над объектами данных.

Разрешение

отношение, связывающее пользователя с какими-либо объектами системы и предоставляющее этому пользователю права доступа к связанным с разрешением объектам.

Локальное разрешение

разрешение, связывающее пользователя с конкретным подразделением в структуре организации или с организацией в целом. Поскольку структура организаций зарегистрированных в ИАС «ИСТИНА» строится как иерархия, то локальное разрешение выданное пользователю для конкретного структурного подразделения, действует и на все подразделения, лежащие ниже по уровню иерархии в ветке дерева, начинающейся с этого структурного подразделения. Например, в случае выдачи разрешения подтверждать место работы на факультете № 1, пользователь может также делать подтверждение на кафедрах 11–13 и в секретариате Учёного совета факультета № 1, а во всех остальных структурных подразделениях организации — нет (Рис. 175).

Пример действия локального разрешения

Рис. 175 Пример действия локального разрешения

Глобальное разрешение

разрешение, связывающее пользователя с системой в целом, а не конкретным её объектом. Пользователь, обладающий каким-либо глобальным разрешением, имеет право осуществлять предусмотренные этим разрешением виды доступа ко всем объектам системы, для которых эти виды доступа в принципе возможны (например, вид доступа «изменение пароля» невозможен ни для каких объектов системы, кроме учетных записей пользователей).

Роль

имеет двоякое значение:

  • комплект разрешений, необходимых для выполнения конкретных функций;

  • подмножество пользователей, которые имеют эти права.

Применяется для облегчения управления доступом, вместо назначения отдельных прав персонально каждому пользователю

Карта ролей

документ, схематически отражающий состав и иерархию ролей в системе. Большинство ролей в ИАС «ИСТИНА» являются производными от ролей с меньшим количеством разрешений. При этом, производная роль наследует все разрешения предшествующей роли и получает одно или несколько дополнительных разрешений.

Зарегистрированный пользователь

пользователь, прошедший регистрацию в системе.

Анонимный пользователь

пользователь, который не прошёл процедуру аутентификации. Для этой роли разрешены только:

  • просмотр общедоступных страниц;

  • скачивание файлов, размещенных пользователями в свободном доступе.

Авторизованный пользователь

пользователь, который прошёл процедуры аутентификации и авторизации. Если авторизованный пользователь не имеет подтвержденного места работы, то помимо прав анонимного пользователя, для этой роли доступно размещение информации в своём персональном профиле, путём заполнения форм в меню добавления результатов научно-педагогической деятельности. Загруженные им файлы не показываются на общедоступных страницах.

Пользователь с подтвержденным местом работы

авторизованный пользователь, чьё место работы подтвердил ответственный по подразделению. Помимо прав обычного авторизованного пользователя, для этой роли доступна отправка сообщений другим зарегистрированным пользователям. Файлы размещённые таким пользователем в свободном доступе, доступны для скачивания другими пользователями.

Ответственный за сопровождение информации в ИАС «ИСТИНА»

авторизованный пользователь, обладающий специальными правами доступа к объектам системы. Все роли относящиеся к этой категории являются производными от роли «Пользователь с подтвержденным местом работы». Существуют следующие роли в данной категории:

  • ответственный за общие (организационно-технические) вопросы сопровождения информации;

  • ответственный за сопровождение информации по должностям, которые занимают отдельные работники;

  • ответственный за сопровождение информации по годовому научному отчёту;

  • ответственный за сопровождение информации о текущих результатах научной деятельности;

  • ответственный за сопровождение данных о текущих результатах педагогической деятельности;

  • ответственный за сопровождение информации по результатам НИР;

  • ответственный за сопровождение финансовой информации о НИР;

  • ответственный за сопровождение информации в подсистеме расчёта персональных рейтингов;

  • ответственный за сопровождение информации по конкурсам на замещение вакантных должностей;

  • ответственный за сопровождение информации по диссертационному совету;

  • ответственный за сопровождение информации по аспирантуре;

  • ответственный за сопровождение информации по учебно-научному оборудованию.

  • ответственный за сопровождение информации по центрам коллективного пользования.

Ответственный за общие (организационно-технические) вопросы сопровождения информации (в рамках подразделения или организации)

является производной ролью от всех остальных ролей, относящихся к категории ответственных. Дополнительными разрешениями для этой роли являются:

  • назначение ответственных по подразделениям в рамках структурной иерархии подразделения;

  • формирование структуры организации (для роли связанной с организацией в целом);

  • формирование списка должностей организации (для роли связанной с организацией в целом).

Ответственный за сопровождение информации по должностям, которые занимают отдельные работники (в рамках подразделения или организации)

работник отдела кадров подразделения и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • ввод и редактирование сведений о месте работы и должности работников подразделения;

  • подтверждение сведений о месте работы и должности работников подразделения;

  • удаление некорректных сведений о месте работы и должности работников подразделения.

Ответственный за сопровождение информации по годовому научному отчёту (в рамках подразделения или организации)

заместитель руководителя подразделения по научной работе и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • просмотр годового научного отчёта подразделения;

  • отбор для годового научного отчёта подразделения аннотаций важнейших результатов научно-исследовательской деятельности (достижений) работников подразделения;

  • подтверждение отчёта с оценкой сведений о достижениях.

Ответственный за сопровождение информации о текущих результатах научной деятельности (в рамках подразделения или организации)

руководитель научного отдела и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • подтверждение и отправка на доработку данных о результатах научной деятельности, введённых в систему работниками подразделения;

  • ввод, редактирование и удаление данных о результатах научной деятельности, введённых в систему работниками подразделения.

Ответственный за сопровождение информации о текущих результатах педагогической деятельности (в рамках подразделения или организации)

руководитель учебного отдела и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • подтверждение и отправка на доработку данных о результатах педагогической деятельности, введённых в систему работниками подразделения;

  • ввод, редактирование и удаление данных о результатах педагогической деятельности, введённых в систему работниками подразделения;

  • экспорт агрегированных данных о педагогической нагрузке работников подразделения.

Ответственный за сопровождение информации по результатам НИР (в рамках подразделения или организации)

руководитель научного отдела и/или уполномоченный им работник. Дополнительным разрешением для этой роли является:

  • подтверждение общих сведений о научно-исследовательских работах подразделения.

Ответственный за сопровождение финансовой информации о НИР (в рамках подразделения или организации)

руководитель научного отдела и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • ввод, просмотр и редактирование смет этапов научно-исследовательских работ подразделения;

  • ввод, просмотр и редактирование состава участников этапов научно-исследовательских работ подразделения.

Ответственный за сопровождение информации в подсистеме расчёта персональных рейтингов (в рамках подразделения или организации)

руководитель подразделения и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • расчёт и просмотр составляющих персонального рейтинга работников подразделения;

  • создание и редактирование формулы персонального рейтинга подразделения;

  • публикация и замена опубликованной формулы персонального рейтинга подразделения;

  • привязка формулы расчёта персонального рейтинга к структурному подразделению.

Ответственный за сопровождение информации по конкурсам на замещение вакантных должностей (в рамках подразделения или организации)

учёный секретарь подразделения и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • просмотр и печать заявлений на участие в конкурсах на замещение вакантных должностей по подразделению;

  • отправка заявления на доработку заявителю, если оно содержит ошибки;

  • подготовка информационных листов и списков научных трудов заявителей;

  • расчёт рейтинговых показателей заявителей по формуле, принятой в подразделении для должности, соответствующей конкурсу;

  • подтверждение получения необходимых документов от заявителей;

  • отправка сообщений заявителям.

Ответственный за сопровождение информации по диссертационному совету (в рамках подразделения или организации)

учёный секретарь диссертационного совета и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • редактирование состава совета;

  • редактирование сведений о членах совета;

  • редактирование сведений о членах совета, не зарегистрированных в ИАС «ИСТИНА»;

  • просмотр сведений о научной деятельности членов совета, агрегированных в виде форм для отчёта о работе диссертационного совета;

  • просмотр агрегированных сведений о работе диссертационного совета для предоставления ежегодного отчёта;

  • создание и редактирование страниц диссертаций, защита которых проходит в диссертационном совете;

  • удаление ассоциации с диссертационным советом записей о диссертациях, ошибочно прикреплённых на страницу диссертационного совета;

  • удаление ошибочных записей о диссертациях, ассоциированных с диссертационным советом.

Ответственный за сопровождение информации по аспирантуре (в рамках подразделения или организации)

работник отдела аспирантуры. Дополнительным разрешением для этой роли является:

  • редактирование сведений об учебно-научной деятельности аспирантов подразделения.

Ответственный за сопровождение информации по учебно-научному оборудованию (в рамках подразделения или организации)

руководитель подразделения и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • создание страниц комплексов учебно-научного оборудования подразделения;

  • назначение и удаление ответственных за сопровождение информации по отдельным комплексам учебно-научного оборудования подразделения;

  • редактирование карточек комплексов учебно-научного оборудования подразделения и приборов, входящих в состав таких комплексов;

  • ассоциация, подтверждение ассоциации и удаление ассоциации результатов научной деятельности с комплексами учебно-научного оборудования подразделения;

  • подтверждение и снятие подтверждения страниц комплексов учебно-научного оборудования подразделения и приборов, входящих в состав таких комплексов;

  • удаление неподтверждённых страниц комплексов учебно-научного оборудования подразделения и приборов, входящих в состав таких комплексов.

Ответственный за сопровождение информации по центрам коллективного пользования (в рамках подразделения или организации)

координатор ЦКП и/или уполномоченный им работник. Дополнительными разрешениями для этой роли являются:

  • создание страниц комплексов учебно-научного оборудования ЦКП;

  • назначение и удаление ответственных за сопровождение информации по отдельным комплексам учебно-научного оборудования ЦКП;

  • редактирование карточек комплексов учебно-научного оборудования ЦКП и приборов, входящих в состав таких комплексов;

  • ассоциация, подтверждение ассоциации и удаление ассоциации результатов научной деятельности с комплексами учебно-научного оборудования ЦКП;

  • подтверждение и снятие подтверждения страниц комплексов учебно-научного оборудования ЦКП и приборов, входящих в состав таких комплексов;

  • удаление неподтверждённых страниц комплексов учебно-научного оборудования подразделения и приборов, входящих в состав таких комплексов.

  • ведение журнала учёта работ ЦКП.

Цепочка отношений

последовательность отношений, с которой ассоциирован набор разрешённых или запрещённых видов доступа. Некоторому пользователю предоставляются эти виды доступа к целевому объекту в случае, если в системе существуют объекты, последовательно связанные между собой отношениями, входящими в цепочку. Примером является цепочка, представленная на рисунке 176. В данном примере цепочка, состоящая из четырех отношений, дает пользователю право на редактирование целевого объекта — статьи. Первым отношением в цепочке является отношение ответственности пользователя в рамках подразделения, вторым — отношение вложенности подразделений, третьим — отношение место работы и четвёртым — отношение авторства. Данная цепочка означает, что пользователь имеет право редактировать данные статьи, если он является ответственным по некоторому подразделению, имеющему дочернее подразделение, в котором работает один из авторов целевой статьи.

Пример цепочки отношений

Рис. 176 Пример цепочки отношений

Права и обязанности ответственных по организациям и подразделениям

Каждый из пользователей ИАС «ИСТИНА» самостоятельно вносит в систему информацию о своих результатах научно исследовательской деятельности, и имеет права редактировать информацию, внесенную в систему им самим. В ряде случаев, однако, необходимо вмешательство пользователей, имеющих особые права доступа для исправления ошибок, допущенных пользователями в процессе добавления информации. Примером такой ошибки может быть указание в качестве соавтора статьи не того сотрудника, либо дублирование статьи в результате ее внесения сразу двумя соавторами. Исправлением таких ошибок в системе занимается выделенная категория пользователей, называемых ответственными по подразделению. Эти пользователи имеют полные права доступа ко всем результатам научно-исследовательской деятельности сотрудников подконтрольных им подразделений. Также в задачи ответственных по подразделениям входит сопровождение информации, недоступной для редактирования обычным пользователям. К такой информации относятся формулы для подсчета персональных рейтингов сотрудников, учетные записи диссертационных советов, научного оборудования и другие объекты, которые могут быть ассоциированы с определенной организацией или подразделением и не являются результатами научно-исследовательской деятельности его сотрудников. Таким образом, ответственные по подразделению выполняют широкий набор задач и для больших организаций и подразделений имеет смысл разделение их полномочий. Это означает, что пользователь может быть связан с подразделением одним или несколькими отношениями, каждое из которых дает ему некоторые права доступа к ряду объектов, ассоциированных с подразделением.

  1. Ответственный за сопровождение общей информации. Данный пользователь имеет право редактировать все результаты научно исследовательской деятельности сотрудников подконтрольного ему подразделения, а также выдавать административные полномочия в рамках подразделения другим пользователям. Пользователь, связанный с подразделением этим отношением, также имеет все права доступа в рамках данного подразделения, указанные для других видов ответственных.

  2. Ответственный за подтверждение должностей сотрудников.

  3. Ответственный за сопровождение информации по научному отчету подразделения.

  4. Ответственный за редактирование смет научно-исследовательских работ. Данный сотрудник имеет право редактировать сметы всех научно-исследовательских проектов, ассоциированных с подконтрольным ему подразделением.

  5. Ответственный за подсчет персональных рейтингов сотрудников.

  6. Ответственный за сопровождение информации по конкурсам на замещение вакантных должностей.

  7. Ответственный за сопровождение информации по конкурсам работников и научных проектов. Данная роль пользователей будет добавлено в системе при ее дальнейшей доработке. В настоящее время только администраторы системы имеют право добавлять в систему новые конкурсы и редактировать права доступа к существующим. Исключение составляют конкурсы на замещение вакантных должностей.

  8. Ответственный за сопровождение информации по диссертационным советам.

  9. Ответственный за сопровождение информации по оборудованию. Данный пользователь имеет право редактировать все учетные записи научных приборов, относящихся к подконтрольному ему подразделению. Следует заметить, что существует также возможность назначения ответственных за сопровождение информации отдельно для определенного прибора.

  10. Ответственный за создание конкурсов на замещение вакантных должностей. Данная роль пользователя в настоящее время является глобальной, то есть дает пользователю соответствующие полномочия в рамках всех зарегистрированных в системе организаций. В перспективе планируется изменить данное правило таким образом, чтобы роль ответственного за создание новых конкурсов могла быть ассоциирована отдельно с каждой из зарегистрированных в системе организаций. При этом назначение ответственного за создание конкурсов в рамках отдельных подразделений по прежнему будет невозможно.

Инструкция по управлению доступом к объектам ИАС «ИСТИНА»

Назначение ответственных по подразделениям

Система предоставляет два способа назначения ответственных по подразделению. Один из этих способов заключается в использовании специально разработанной для этой цели страницы и является более удобным. Для пользователей, обладающих административными привилегиями в системе также возможно добавление ответственных по подразделениям с использованием механизмов администрирования, встроенного в библиотеку Django, используемую ИАС «ИСТИНА» в качестве «слоя-посредника» при обращении к базе данных системы. Второй способ предоставляет несколько больше возможностей для управления полномочиями пользователей, однако требует использования значительно менее дружественного интерфейса. Для большинства задач по управлению полномочиями пользователей ИАС «ИСТИНА» предпочтительным является использование интерфейса, разработанного специально для этой системы. В настоящем разделе инструкции рассматриваются способы управления доступом к объектам системы с использованием приложения, разработанного специально для нее. Управление доступом с использованием панели администрирования Django может осуществляться только персоналом сайта.

Для назначения пользователя ответственным по подразделению необходимо войти на страницу управления правами доступа, находящуюся по адресу https://istina.msu.ru/unified_permissions, после чего выбрать пункт «назначить ответственного по подразделению». После этого появится экран назначения ответственных по подразделению, представленный на рисунку 177. Заметим, что в графу «пользователь» необходимо ввести полное имя пользователя, а не имя, используемое для входа в систему (логин). После ввода в данное поле нескольких первых символов фамилии пользователя появится возможность выбрать пользователя из выпадающего списка. Затем необходимо указать подразделение, для которого пользователь должен быть назначен ответственным. Каждый пользователь имеет право назначать новых ответственных по подразделениям, для которых сам является ответственным.

Диалог добавления ответственного по подразделению

Рис. 177 Диалог добавления ответственного по подразделению

Далее необходимо ввести контактную информацию ответственного, которая необходима сотрудникам данного подразделения в случае необходимости обращения к ответственному по вопросам, связанным с системой. Среди этих сведений можно указать адрес электронной почты и рабочий телефон.

Кроме того, при добавлении нового ответственного необходимо указать начальную и конечную даты срока действия его полномочий. Поля для ввода этих дат находятся внизу экрана, как показано на рисунке 177.

Выдача разрешений в рамках подразделения

В пределах достаточно больших организаций и подразделений имеет смысл разделение полномочий ответственных пользователь не только между подразделениями, но и между разными сферами ответственности в рамках одного подразделения. Например, может иметь смысл выделение отдельных пользователей, ответственных за формулу расчета персональных рейтингов сотрудников, отдельных пользователей, ответственных за сопровождение информации о научном оборудовании подразделения и отдельных пользователей, обязанностью которых является исправление ошибок при добавлении сотрудниками своих результатов научно-исследовательской деятельности. Такие ошибки возможны, например, если статья будет добавлена в систему сразу двумя соавторами, один из которых допустит опечатку в ее названии. При этом в системе окажется две учетные записи одной и той же статьи.

Таким образом, может возникнуть необходимость предоставить пользователю некоторые права доступа к объектам в рамках определенного подразделения, не предоставляя ему полных прав ответственного по этому подразделению. Для этого в системе предусмотрено несколько различных видов отношений между пользователем и подразделением, каждое из которых дает свои права доступа к результатам научно-исследовательской деятельности сотрудников этого подразделения. Для этого на странице управления правами доступа, находящейся по адресу https://istina.msu.ru/unified_permissions, необходимо нажать на ссылку «добавить разрешение в рамках подразделения» после этого на экран будет выведено диалоговое окно, представленное на рисунке 178.

Диалог добавления разрешения в рамках подразделения

Рис. 178 Диалог добавления разрешения в рамках подразделения

В поле «пользователь», как и в случае добавления ответственного по подразделению, необходимо ввести полное имя пользователя. После ввода в поле первых нескольких символов фамилии сотрудника можно выбрать из выпадающего списка всех сотрудников, фамилии которых начинаются с указанных символов. Далее необходимо выбрать из выпадающего списка тип разрешения, которое должно быть предоставлено данному пользователю. В системе предусмотрены следующие виды разрешений пользователя в рамках подразделения.

  1. Отдел кадров (подтверждение должностей).

  2. Доступ к заявлениям на конкурс замещения должностей. Данное разрешение означает назначение ответственного за сопровождение конкурсов на замещение вакантных должностей, полномочия которого рассматриваются в соответствующем разделе настоящей инструкции. В настоящее время ответственный по подразделению не имеет права самостоятельно предоставлять доступ к заявлениям на конкурс замещения должностей в рамках подразделения. Это решение связано с тем, что предоставление этого вида доступа должно согласовываться с Ученым советом МГУ. В данный момент только разработчики системы имеют право предоставлять этот вид доступа.

  3. Может подтверждать достижения.

  4. Может подтверждать персональные отчеты.

  5. Может подтверждать проекты.

  6. Ответственный за оборудование. Данное разрешение влияет на права доступа пользователя к научному оборудованию, ассоциированному с подразделением. Управление правами доступа к оборудованию рассматривается в соответствующем разделе настоящей инструкции.

  7. Может просматривать годовой отчет.

  8. Может просматривать персональные рейтинги. Данное разрешение влияет на права доступа пользователя к ассоциированным с подразделением формулам для расчета персональных рейтингов сотрудников подразделение и дает право просматривать рейтинги сотрудников. Управление правами доступа к персональным рейтингам сотрудников описано в соответствующем разделе настоящей инструкции.

  9. Может редактировать сметы всех НИР.

Управление доступом к отдельным объектам в рамках подразделения

Управление доступом к диссертационным советам

Каждый из диссертационных советов, информация о которых хранится в системе, ассоциирован с определенной организацией или подразделением. Ответственные за сопровождение информации в рамках подразделения имеют право редактировать ассоциированные с ним советы. Для МГУ существует выделенная роль пользователя, являющегося ответственным за сопровождение информации по диссертационным советам. Для других организаций в настоящее время обязанности ответственного по диссертационным советам выполняет ответственный за сопровождение общей информации об организации и подразделению. Для подразделений МГУ обязанности ответственного за диссертационный советы исполняет либо ответственный за диссертационные советы по МГУ, либо ответственный за сопровождение общей информации по подразделению в целом.

Список всех диссертационных советов, связанных с подразделением, представлен на главной странице этого подразделения. При нажатии ответственным по подразделению на номер совета на экране появится меню управления советом, представленное на рисунке 179. Ответственный по подразделению имеет право добавлять и удалять членов совета, некоторые из которых также имеют право редактирования совета, хотя и не имеют особых прав доступа к другим диссертационным советам в рамках подразделения и прочим связанным с подразделением объектам. Для того, чтобы добавить нового члена совета, необходимо нажать на ссылку «добавить членство», выделенную на рисунке рисунке 179. После этого необходимо указать имя члена совета, его специальность и должность в совете. От должности пользователя в совете зависят права доступа нового члена совета к этому совету. Должность пользователя в совете может быть одной из следующих.

  • Член совета.

  • Ученый секретарь.

  • Заместитель председателя.

  • Председатель.

Для того, чтобы изменить должность одного из членов совета, либо удалить членство в совете, необходимо нажать на имя соответствующего сотрудника в списке членов совета.

Диалог редактирования диссертационного совета.

Рис. 179 Диалог редактирования диссертационного совета

Таким образом, особые права доступа к диссертационному совету имеют пользователи следующих категорий.

  1. Администратор системы.

  2. Ответственный по подразделению, с которым ассоциирован совет, его родительскому подразделению или организации.

  3. Член совета.

  4. Ученый секретарь.

  5. Заместитель председателя.

  6. Председатель.

Администратор системы и ответственный по подразделению, с которым ассоциирован диссертационный совет, имеют право указывать ученого секретаря совета и обладают всеми правами доступа, перечисленными в настоящей инструкции для ученого секретаря совета.

Ученый секретарь диссертационного совета имеет следующие права доступа к учетной записи совета и связанных с ним объектов.

  • Право редактировать состав диссертационного совета.

  • Право редактировать информацию об отдельных членах диссертационного совета, включая не зарегистрированных как пользователи ИАС «ИСТИНА».

  • Право добавлять результаты научно-исследовательской деятельности членов диссертационного совета.

  • Право создавать и редактировать учетные записи диссертаций, защищенных в данном совете, а также удалять сведения о связи с диссертациями, ошибочно внесенными в систему как защищенные в данном совете.

Председатель и заместитель председателя совета не имеют особых прав доступа к учетной записи совета. Их должности могут учитываться при других аспектах работы системы – например, иметь больший вес при подсчете персональных рейтингов.

Управление доступом к научному оборудованию

Помимо информации о результатах научно-исследовательской деятельности, ИАС «ИСТИНА» хранит информацию об имеющемся у организации научном оборудовании. Зарегистрированное в системе оборудование ассоциировано с определенным структурным подразделением, и редактирование информации о научном оборудовании доступно ответственным по данному подразделению и пользователю, обладающему разрешением «ответственный за оборудование» в рамках подразделения. Процедура предоставления пользователем данного разрешения представлена в соответствующем разделе настоящей инструкции. Ответственный за сопровождение информации о научном оборудовании имеет следующие обязанности.

  • Подтверждение сведений о научном оборудовании подразделения.

  • Создание страниц новых комплексов научного оборудования.

  • Назначение ответственных за сопровождение информации о новых комплексах научного оборудования.

Далее описано, какие права доступа, необходимые для выполнения перечисленных функций, имеет ответственный за оборудование в рамках подразделение. Заметим, что права доступа к объектам системы, предоставляемые ответственному за оборудование в рамках подразделения, предоставляются также и «общему» ответственному по подразделению.

Помимо ответственного за оборудование в рамках подразделения, система предусматривает назначение пользователей ответственными за сопровождение информации по определенному оборудованию. Такие пользователи имеют право редактировать информацию об определенном комплексе оборудования, но не имеют особых прав доступа к другим комплексам оборудования того же подразделения, либо к другим объектам, относящимся к подразделению.

Ответственный по подразделению имеет право назначения ответственных за конкретные комплексы оборудования, ассоциированные с данным подразделением. Для этого на главной странице подразделения необходимо перейти по ссылке «научное оборудование подразделения», после чего выбрать из списка комплекс, для которого требуется назначить ответственного. В правом верхнем углу страницы научного комплекса имеется гиперссылка «редактировать». После нажатия на нее, на появившейся странице редактирования атрибутов научного комплекса можно перейти к вкладке «ответственные», представленной на рисунке 180. Таким образом возможно назначить нового ответственного за оборудование, либо удалить имеющихся ответственных, список которых представлен в нижней части экрана.

Диалог добавления разрешения для оборудования

Рис. 180 Диалог добавления разрешения для оборудования

Таким образом, различные права на доступ к комплексу научного оборудования имеют следующие пользователи.

  1. Администратор системы.

  2. Ответственный по подразделению, с которым ассоциирован комплекс, его родительскому подразделению или организации.

  3. Пользователь, обладающий разрешением «может подтверждать списки оборудования» в рамках подразделения, с которым ассоциирован комплекс, его родительского подразделения или организации.

  4. Пользователь, ответственный за конкретный научный комплекс. Отношения, связывающие ответственного пользователя с научным комплексом, в системе бывают следующих видов.

    • Научный руководитель.

    • Материально ответственное лицо.

    • Ответственный за эксплуатацию.

    • Ответственный за информацию.

    • Ответственный по аспирантуре.

    • Делегирование полномочий ответственного.

Правила, в соответствии которыми пользователю предоставляется доступ к учетным записям комплексов научного оборудования, выглядят следующим образом.

  1. Ответственный по подразделению, либо ответственный за сопровождение информации об оборудовании по подразделению, имеют право назначать ответственных за сопровождение информации об отдельных комплексах научного оборудования.

  2. Ответственный по подразделению, либо ответственный за сопровождение информации об оборудовании по подразделению, с которым связан прибор, имеют право редактировать параметры оборудования и подписывать научные результаты, аффилированные с оборудованием.

  3. Ответственный по подразделению, либо ответственный за сопровождение информации об оборудовании по подразделению, имеют право подтверждать наличие данного оборудование, после чего пользователь, создавший учетную запись оборудования, лишается права удалить ее.

  4. Научный руководитель оборудования имеет право подписывать, либо удалять научные результаты, аффилированные с оборудованием.

  5. Пользователь, создавший учетную запись оборудования, имеет право редактировать учетную запись оборудования и имеет право удалять ее, если запись не подписана ответственным за сопровождение информации об оборудовании или ответственный по подразделению.

  6. Пользователь ответственный за сопровождение информации по данному оборудованию, имеет право редактировать запись оборудования.

  7. Пользователь, определенным образом связанный с конкретной учетной записью оборудования, имеет право удалить эту связь.

  8. Ответственный за сопровождение информации об оборудовании по подразделению, с которым ассоциировано оборудование, имеет право включать комплекс оборудование в качестве составного элемента в другой комплекс научного оборудования, а также отменять данное включение.

Управление доступом к рейтингам пользователей

Одной из важный функций ИАС «ИСТИНА» является подсчет рейтингов научных сотрудников на основе информации об их результатах научно-исследовательской деятельности. Рейтинг может рассчитываться по достаточно сложной формуле, ассоциированной с подразделением. Индивидуальный рейтинг сотрудника недоступен для просмотра большинству пользователей системы и никак не может быть изменен непосредственно. Рейтинг сотрудника изменяется при добавлении результатов научно-исследовательской деятельности, влияющих на рейтинг, либо в результате изменения формулы расчета рейтинга.

Таким образом, к ассоциированной с подразделением формуле для расчета рейтингов сотрудников допустимы следующие виды доступа.

  • Расчет по формуле рейтинга для определенного сотрудника. Заметим, что для выполнения этой операции пользователь должен не только обладать правом соответствующего доступа к формуле, но и правом на просмотр персонального рейтинга сотрудника.

  • Редактирование формулы.

  • Редактирование привязки формулы к подразделению. Рейтинг сотрудников каждого подразделения вычисляется по собственной формуле, однако, одна и та же формула может быть ассоциирована с разными подразделениями.

  • Создание новой формулы.

Среди пользователей, обладающих особыми правами доступа к формуле, можно выделить следующих.

  • Администратор системы.

  • Создатель формулы.

  • Ответственный по подразделению, в котором работает создатель формулы.

  • Ответственный по подразделению для привязки формулы к подразделению.

  • Пользователь, обладающий разрешением «может просматривать персональные рейтинги» для подразделения, с которым ассоциирована формула. В соответствующем разделе инструкции описана процедура выдачи пользователям данного разрешения в рамках подразделения.

  • Пользователь, для которого считается рейтинг - для расчета рейтинга по формуле.

  • Ответственный по подразделению, в котором работает сотрудник для расчета рейтинга сотрудника по формуле.

  • Пользователь, обладающий разрешением «может просматривать персональные рейтинги» для подразделения, в котором работает сотрудник, для которого считается рейтинг.

Права на выполнение перечисленных операций над формулами расчета рейтингов выглядят следующим образом.

  1. Для того, чтобы пользователь имел право рассчитывать персональный рейтинг сотрудника необходимо, чтобы он имел соответствующие права доступа как к учетной записи сотрудника, так и к формуле. Необходимыми правами доступа к учетной записи сотрудника обладают:

    • администратор системы;

    • сотрудник, для которого считается рейтинг;

    • ответственный по подразделению, в котором работает этот сотрудник;

    • пользователь, обладающий разрешением «может просматривать персональные рейтинги» для указанного подразделения.

    Необходимыми правами доступа к объекту формулы обладают:

    • создатель формулы;

    • ответственный по подразделению, в котором работает создатель формулы;

    • ответственный по подразделению, с которым ассоциирована формула;

    • пользователь, обладающий разрешением «может просматривать персональные рейтинги» для подразделения, с которым ассоциирована формула.

    Таким образом, право рассчитывать по определенной формуле персональный рейтинг определенного сотрудника имеет пользователь, связанный с целевым сотрудником хотя бы одним отношением из указанных в первом перечне, и одновременно связанный с формулой хотя бы одним из отношений, указанных во втором перечне.

  2. Право редактировать формулу имеет только создатель формулы. Создать новую формулу имеет право любой зарегистрированный пользователь.

  3. Ответственный по подразделению имеет право ассоциировать формулы с подконтрольным ему подразделением.

Управление доступом к конкурсам и заявкам на конкурсы

В настоящее время управление доступом к конкурсам и заявкам на конкурсы может осуществляться только пользователем, имеющим полномочия администратора системы, посредством интерфейса администрирования Django. Использование данного механизма не рассматривается в настоящей инструкции. Для создания нового конкурса и определения прав доступа к нему следует обратиться к персоналу сайта.

После создания конкурса авторизованный пользователь может подать заявку на конкурс, воспользовавшись ссылкой «конкурсы» на главной странице ИАС «ИСТИНА», либо ссылкой «конкурсы» на собственной персональной странице. В результате нажатия на эту ссылку на экран будет выведен список конкурсов, на которые пользователь подал или имеет право подать заявку.

# Пользователь, подавший заявку имеет право отозвать или изменить ее.

  1. Ответственный по подразделению, в котором работает пользователь, подавший заявку, также имеет право отозвать или редактировать ее.

  2. Организатор конкурса или эксперт по конкурсу имеет право просматривать заявку.

В настоящее время назначать экспертов для конкурса имеет право только администратор системы.

Среди объектов системы отдельно выделены конкурсы на замещение вакантных должностей. В отличие от других конкурсов, управление данной категорией конкурсов может осуществляться пользователями, имеющими полномочия ответственных в рамках организаций и подразделений и не относящимися к персоналу сайта. Управление доступом к конкурсам на замещение вакантных должностей рассматривается в соответствующем разделе настоящей инструкции.

Управление доступом к конкурсам на замещение вакантных должностей

Одной из функций ИАС «ИСТИНА» является автоматизация управления конкурсами на замещение вакантных должностей. Привилегированный доступ к управлению конкурсами имеют две выделенных категории пользователей: ответственные за создание конкурсов и ответственный за сопровождение конкурсов. Следует обратить внимание на существенное различие между этими двумя ролями. Пользователи, ответственные за создание новых конкурсов, могут бать ассоциированы только с определенной организацией, но не с отдельными ее подразделениями. Данные пользователи имеют право создавать и удалять учетные записи конкурсов. Вместе с тем, пользователь, ответственный за сопровождение конкурсов, ассоциируется с определенным подразделением. В настоящее время доступ к заявлениям на конкурс замещения должностей может предоставляться только персоналом сайта по согласованию с Ученым советом МГУ. Ответственный по подразделению не имеет права предоставлять доступ к заявлениям на конкурс на замещение должностей в рамках подразделения.

В настоящее время роль ответственного за создание конкурсов является глобальной, то есть каждый пользователь либо обладает данной ролью для всех зарегистрированных в системе организаций, либо не обладает ею. Ведется работа по модификации этой роли с целью обеспечения возможности выдачи ее пользователю в рамках определенной организации.

Управление конкурсами на замещение вакантных должностей осуществляется через отдельный интерфейсный модуль. Для добавления нового конкурса необходимо войти на соответствующую страницу ИАС «ИСТИНА», расположенную по адресу https://istina.msu.ru/vacancies/add. Добавлять новые конкурсы имеет право только ответственный за создание конкурсов на замещение вакантных должностей, ассоциированный с организацией, для которой создается конкурс.

Пользователь, ответственный за сопровождение конкурсов, имеет право выполнять следующие действия:

  • Просматривать заявления сотрудников на участие в конкурсе на замещение должностей.

  • Подтверждать заявления сотрудников на участие в конкурсе на замещение должностей.

Управление доступом к информации о научно-исследовательских проектах

Особые права доступа к научно-исследовательским проектам имеют следующие пользователи:

  1. Ответственный по подразделению, в котором выполняется проект.

  2. Ответственный за сопровождение информации о сметах НИР в рамках организации или подразделения, в котором выполняется проект.

  3. Руководитель НИР.

  4. Исполнители НИР.

Управление доступом к подсистеме учета деятельности аспирантов

Особые права доступа к подсистеме учета деятельности аспирантов имеют следующие пользователи.

  1. Администратор подсистемы учета деятельности аспирантов, то есть пользователь, обладающий соответствующей глобальной ролью. Данный пользователь имеет право просматривать и редактировать все данные, относящиеся к соответствующей подсистеме.

  2. Руководитель подсистемы учета деятельности аспирантов, то есть пользователь, обладающий соответствующей глобальной ролью. Данный пользователь имеет право просматривать служебную информацию подсистемы, но не имеет право редактировать ее.

  3. Ответственный за сопровождение информации по учету деятельности аспирантов в рамках подразделения. Данные пользователи имеют право редактировать информацию о деятельности аспирантов в рамках подконтрольных им подразделений.

Перечень ролей ответственных за сопровождение информации в ИАС «ИСТИНА»

Роли ответственных за сопровождение информации в рамках всей системы

  1. Ответственный за сопровождение информации по конкурсам работников и научных проектов. Данная роль пользователей будет добавлена в системе при ее дальнейшей доработке. В настоящее время только администраторы системы имеют право добавлять в систему новые конкурсы и редактировать права доступа к существующим. Исключение составляют конкурсы на замещение вакантных должностей.

Роли ответственных за сопровождение информации в пределах организации

  1. Ответственный за сопровождение общей информации. Данный пользователь обладает следующими правами доступа к объектам системы:

    • Право редактировать данные о результатах научно-исследовательской деятельности всех сотрудников подконтрольной организации.

    • Все права доступа, ассоциированные с другими видами ответственных за сопровождение информации в рамках организации.

  2. Ответственный за сопровождение информации по диссертационным советам. Данный пользователь имеет следующие права доступа к объектам системы:

    • Право редактировать состав диссертационных советов, относящихся к организации.

    • Право редактировать информацию об отдельных членах диссертационных советов, включая не зарегистрированных как пользователи ИАС «ИСТИНА».

    • Право добавлять результаты научно-исследовательской деятельности членов диссертационных советов.

    • Право создавать и редактировать учетные записи диссертаций, защищенных в данной организации, а также удалять сведения о связи с диссертациями, ошибочно внесенными в систему как защищенные в данной организации.

    Следует заметить, что для организаций, с которыми ассоциировано несколько диссертационных советов (как для МГУ) с каждым диссертационным советом ассоциирован пользователь - ученый секретарь совета. Он обладает всеми перечисленными правами доступа для конкретного диссертационного совета. Ответственный за сопровождение общей информации по подразделениям организации также имеет перечисленные права доступа к диссертационным советам, относящимся к подконтрольному ему подразделению.

  3. Ответственный за создание конкурсов на замещение вакантных должностей. Данная роль пользователя в настоящее время является глобальной, то есть дает пользователю соответствующие полномочия в рамках всех зарегистрированных в системе организаций. В перспективе планируется изменить данное правило таким образом, чтобы роль ответственного за создание новых конкурсов могла быть ассоциирована отдельно с каждой из зарегистрированных в системе организаций. При этом назначение ответственного за создание конкурсов в рамках отдельных подразделений по прежнему будет невозможно.

  4. Ответственный за назначение привилегий ответственных. Данный пользователь имеет следующие права доступа к объектам системы:

    • Право назначать ответственных за сопровождение общей информации, либо отдельных категорий информации в рамках организации и любого из ее подразделений.

    • Право отзывать полномочия ответственных за сопровождение информации в рамках организации и ее подразделений.

Следует заметить также, что ответственный за любой аспект сопровождения информации в рамках организации имеет право редактировать свою учетную карточку ответственного (в которой указаны его контактные данные для обращения сотрудников по вопросам сопровождения информации в системе), а также отказаться от своих полномочий.

Роли ответственных за сопровождение информации в пределах подразделения

  1. Ответственный за сопровождение общей информации. Данный пользователь имеет следующие права доступа к объектам системы, относящимся к подконтрольному ему подразделению.

    • Право предоставлять другим пользователям полномочия в рамках подразделения.

    • Право редактировать данные о результатах научно-исследовательской деятельности сотрудников подразделения.

    • Право подтверждать или отклонять данные о педагогической нагрузке сотрудников подразделения.

    Также ответственный за сопровождение общей информации по подразделению обладает всеми правами доступа, которыми обладают пользователи, ответственные за сопровождение отдельных категорий информации в рамках данного подразделения.

  2. Ответственный за сопровождение информации по должностям сотрудников. Данное разрешение может быть целесообразно выдать сотруднику отдела кадров подразделения. Для небольших подразделений, не имеющих собственного отдела кадров (таких, как кафедры или лаборатории) данная роль может быть выдана сотруднику отдела кадров родительского подразделения, либо ответственному за сопровождение общей информации по подразделению. Пользователь, обладающий данной ролью, обладает следующими правами доступа к объектам системы:

    • Право редактировать информацию о местах работы и должностях сотрудников подразделения, включая право на удаление информации о месте работы сотрудника в подконтрольном пользователю подразделении.

    • Право подтверждать информацию о местах работы и должностях сотрудников подразделения.

  3. Ответственный за сопровождение информации по научному отчету подразделения. Обладает следующими правами доступа к объектам системы.

    • Право подтверждать достижения сотрудников подконтрольного подразделения, то есть наиболее значимые результаты научно-исследовательской деятельности.

    • Право просматривать общий годовой отчет подразделения.

  4. Ответственный за сопровождение информации по персональным отчетам сотрудников. Данный пользователь имеет право подтверждать, либо отправлять на доработку персональные отчеты сотрудников подразделения.

  5. Ответственный за сопровождение информации о научно-исследовательских работах. Данный пользователь имеет следующие права доступа к объектам системы.

    • Право подтверждать сведения о научно-исследовательских работах в рамках подразделения.

    • Право подтверждать плановые и фактические показатели этапов научно-исследовательских работ.

  6. Ответственный за сопровождение финансовой информации о научно-исследовательских работах. Данный сотрудник имеет право редактировать сметы всех научно-исследовательских проектов, ассоциированных с подконтрольным ему подразделением.

  7. Ответственный за подсчет персональных рейтингов сотрудников. Данный сотрудник обладает следующими правами доступа к объектам системы.

    • Право ассоциировать с подразделением формулу для расчета персональных рейтингов сотрудников (правом создать такую формулу обладает не только ответственный за подсчет персональных рейтингов, но и другие пользователи).

    • Право рассчитывать и просматривать персональные рейтинги сотрудников подразделения.

  8. Ответственный за сопровождение информации по конкурсам на замещение вакантных должностей. Данный сотрудник имеет следующие права доступа к объектам системы.

    • Право просматривать заявления на участие в конкурсах на замещение вакантных должностей.

    • Право подтверждать заявления на участие в конкурсах на замещение вакантных должностей.

  9. Ответственный за сопровождение информации по научному оборудованию. Данный пользователь обладает следующими правами доступа к объектам в рамках подконтрольного подразделения.

    • Право создавать, редактировать и удалять учетные записи комплексов научного оборудования подразделения, а также подтверждать учетные записи оборудования, внесенные другими пользователями.

    • Право редактировать права доступа пользователей к отдельным научным приборам в рамках подразделения.

    • Право ассоциировать с научным прибором результаты научно-исследовательской деятельности, полученные с его помощью, а также подтверждать, либо отменять связь прибора с результатами научной деятельности, отмеченными другими сотрудниками как полученные с использованием данного прибора.

    • Право включать прибор в состав комплекса научного оборудования, либо исключать его из состава комплекса.

  10. Ответственный за сопровождение информации по педагогической нагрузке. Данный пользователь обладает следующими правами доступа к объектам системы.

    • Право редактировать, создавать или удалять записи о педагогической нагрузке сотрудников подразделения.

    • Право подтверждать внесенные сотрудниками подразделения данные о педагогической нагрузке.

  11. Ответственный за сопровождение информации по аспирантуре. В настоящее время механизмы, требующие полномочий данного пользователя, находятся в стадии разработки.

Роли ответственных за сопровождение информации по конкретному диссертационному совету

  1. Ученый секретарь. Ученый секретарь диссертационного совета обладает теми же правами доступа, что и ответственный за сопровождение диссертационных советов в рамках организации, но только для подконтрольного ему диссертационного совета.

Роли ответственных за сопровождение информации по конкретному научному оборудованию

  1. Ответственный «общего плана». Данный пользователь имеет те же права доступа к учетной записи оборудования, что и ответственный за сопровождение информации об оборудовании по соответствующему подразделению.

  2. Научный руководитель. Научный руководитель оборудования имеет право подтверждать или удалять внесенную в систему информацию о результатах научно-исследовательской деятельности, полученных с использованием данного оборудования.

  3. Ответственный за сопровождение информации. Данный пользователь имеет право редактировать общую информацию об оборудовании.