Собеседование на системного аналитика в F.A.C.C.T.

Почему F.A.C.C.T. — особенный работодатель для СА

F.A.C.C.T. (Fight Against Cybercrime and Cyber Threats) — российская кибербезопасность-компания, выделившаяся из Group-IB в 2024 году: продукты для защиты от киберугроз, антифрод для банков и крупного бизнеса, threat intelligence, расследование киберпреступлений. Для системного аналитика это специфический security-контекст: проектирование security-API, real-time антифрод-flow, integration с SIEM-системами клиентов, серьёзная регуляторика и compliance.

Главные задачи СА в F.A.C.C.T.: проектирование security-API (антифрод-API для банков, threat intelligence feed, IoC-обогащение); написание OpenAPI-спецификаций; моделирование процессов в BPMN (incident response, escalation, dispute); интеграция с SIEM-системами клиентов (Splunk, ArcSight, IBM QRadar, Naumen); работа с compliance (152-ФЗ, security standards); проектирование chain-of-custody для forensic-данных.

Стек инструментов: Confluence, Jira, Swagger/OpenAPI, BPMN, PlantUML, C4. На технической стороне аналитик работает с ClickHouse, Elasticsearch, PostgreSQL, Kafka, REST и gRPC, специализированные security-инструменты.

Актуальные вакансии — на hh.ru и сайте F.A.C.C.T.

Этапы собеседования

Полный цикл — 4-6 недель, 5-6 этапов. Процесс с серьёзной СБ-проверкой: HR, техническое интервью, архитектурный кейс, профильное интервью с threat researchers, поведенческое, финал + СБ.

1. HR-скрининг (30-45 минут)

Рекрутер уточняет: опыт системного анализа (от 2 лет, желательно с security или fintech-контекстом), знание API и BPMN, мотивацию идти в F.A.C.C.T., ожидания по компенсации и формату (Москва, частично гибрид). Готовь питч на 90 секунд про самый сложный security или antifraud-проект.

2. Техническое интервью (60-90 минут)

Базовая секция с senior СА или архитектором. Темы: REST API design, OpenAPI/Swagger, архитектурные паттерны, security паттерны (защищённый периметр, immutable audit log, chain of custody), messaging-паттерны, безопасность (mTLS, OAuth 2.0, JWT, RBAC), C4-нотация. Специфический вопрос: «как ты спроектируешь антифрод-API для банка с real-time детекцией мошеннических транзакций и интеграцией с собственной ML-моделью клиента».

Подготовка: REST API design, Безопасность и compliance, Distributed systems.

3. Архитектурный кейс (90 минут)

Самая характерная секция. Кейс: «спроектируй threat intelligence API с обогащением IoC из публичных и приватных feed», «как ты бы построил integration с SIEM-системой банка-клиента с unified-схемой событий», «как сделать forensic-data layer для расследований киберпреступлений с chain of custody». Нужно: уточнить требования, описать архитектуру, продумать immutability и audit, заложить compliance. Сильный сигнал — учёт security-специфики.

Подготовка: Интеграция и архитектура, BPMN и требования.

4. Профильное интервью с threat researchers (60 минут)

Беседа с threat researchers или incident response команды. Темы: как ты бы строил data infrastructure для расследования инцидентов, как обеспечиваешь chain of custody, как договариваешься с security-экспертами.

5. Поведенческое + culture fit (45 минут)

С тимлидом или представителем направления. STAR-формат: конфликт с клиентом банка, факап в проде security-pipeline, длинный compliance-проект.

6. Финал + СБ (1-3 недели)

Грейд, оффер, расширенная СБ.

Особенности по командам

Антифрод-API для банков-клиентов. Команда строит API real-time антифрода для банков: события транзакций → ML-модели F.A.C.C.T. → решение approve/decline. Стек — REST + gRPC + Kafka + кастомные стриминговые сервисы. Челлендж — sub-second latency, low false-positive, integration с разными процессинговыми системами банков. Подойдёт СА с background в fintech-security.

Threat Intelligence API. Команда строит API для threat intelligence: aggregation IoC (indicators of compromise) из публичных и приватных feed, обогащение, distribution клиентам. Стек — REST + ElasticSearch + ClickHouse + кастомные R&D-инструменты. Подойдёт СА с интересом к security.

SIEM-интеграция. Команда работает с интеграциями SIEM-систем клиентов (Splunk, ArcSight, IBM QRadar): подключение клиентов, нормализация форматов событий. Стек — REST + Kafka + специализированные коннекторы. Подойдёт СА с background в security operations или enterprise integration.

Incident response platform. Команда строит инструменты для расследования инцидентов: chain of custody, forensic-инструменты, dispute-resolution. Стек — REST + специализированные forensic-инструменты + immutable storage. Подойдёт СА с compliance или forensic-фоном.

Internal R&D и data layer. Команда занимается data layer для threat researchers: training data для ML-моделей детекции, фичи для классификаторов угроз. Стек — Spark + ClickHouse + custom R&D-инструменты. Подойдёт СА с ML или R&D-фоном.

Что F.A.C.C.T. ценит в СА

Security-зрелость. Понимание chain of custody, immutability, audit trail, MITRE ATT&CK — сильный сигнал.

Production-опыт. История про API в проде с low false-positive и high recall.

Compliance-знание. 152-ФЗ, security standards, банковские requirements для антифрод-сервисов.

Weak vs strong на архитектурном кейсе. Слабый ответ: «возьмём REST для антифрод-API банка». Сильный ответ: «антифрод-API для банка — критичный путь. API: POST /v1/transactions/check возвращает 200 с decision (approve/decline/manual_review) за < 200мс. Internal flow: event → enrichment с client профилем (Redis lookup), история транзакций → ML-inference (gRPC, timeout 100мс) → rule-engine → final decision. Fallback на rule-only при таймауте ML. Каждое решение — immutable audit log в WORM с full context (для regulatory dispute и retraining). API клиента (банка) — REST с mTLS, idempotency для retry. SLA 99.99% доступности, P99 latency < 250мс».

Готовность к корпоративной среде и СБ. F.A.C.C.T. — security-компания, СБ серьёзная.

Self-management. Команды компактные, СА работает с экспертами в security.

Как готовиться: план

За 5-7 недель до планируемого собеса:

1. Неделя 1-2 — REST API + security patterns. HTTP-методы, idempotency, OpenAPI, security паттерны (mTLS, JWT, RBAC, audit trail). Прорешай 5-7 кейсов API design. Параллельно — на Карьернике обнови базу по SQL и логике: 1500+ задач, по 15-20 минут в день, чтобы за месяц закрыть пробелы.
2. Неделя 3 — Security и threat intelligence контекст. Прочитай MITRE ATT&CK, OWASP Top 10, STIX/TAXII basics, обзоры по антифроду в банках. Запомни понятия: IoC, TTP, threat hunting, SIEM, chain of custody.
3. Неделя 4 — SIEM и enterprise security. Документация Splunk SPL, CEF, LEEF, обзоры по интеграции с SIEM-системами.
4. Неделя 5 — Архитектурные кейсы. Прорешай 5-6 кейсов: антифрод-API для банка, threat intelligence API, SIEM-интеграция, forensic data layer, incident response BPMN. Структура — требования → C4 → API → audit → SLA → compliance. Интеграция и архитектура.
5. Неделя 6-7 — Mocks и behavioral + СБ-документы. Mock-интервью, 5-7 STAR-историй: конфликт с клиентом банка, факап в проде, длинный compliance-проект.

Частые ошибки

Не разбираются в security-терминологии. «Что такое IoC, TTP, MITRE ATT&CK, SIEM?» — кандидат теряется.

Игнорируют chain of custody. В security forensic-данные требуют immutability и audit. Без этого балл проседает.

Не думают про false-positive. В антифроде ложный позитив — это пропуск платежа клиента банка. Балансировка FP/FN критична.

Игнорируют latency для real-time. Антифрод транзакции в банке должен решаться за < 200мс. Кандидат, который этого не учитывает — теряет балл.

Не задают вопросы про compliance и СБ. На кейсе сразу — стек, а не «какие требования регулятора, какой retention forensic-данных». Это первый фильтр.

Связанные темы

• Собеседование на системного аналитика
• Безопасность и compliance
• REST API design
• Собеседование на Data Engineer в F.A.C.C.T.
• Собеседование на системного аналитика в Тинькоффе

FAQ

Удалёнка в F.A.C.C.T. для СА?

Преимущественно офис в Москве. Для security-команд гибрид/удалёнка ограничены — security-данные требуют защищённого периметра.

Зарплатные вилки 2026?

Middle СА: 280-420k. Senior: 420-650k. Lead — выше, особенно в antifraud и threat intelligence.

Нужен ли английский?

Желательно. Часть threat intelligence feed на английском (CVE, VirusTotal). Свободного говорящего не требуется.

Сколько этапов?

5-6 этапов, 4-6 недель из-за расширенной СБ.

Реально ли пройти без security-опыта?

Сложно. Хотя бы базовое понимание security (IoC, SIEM, MITRE ATT&CK) должно быть. Background в antifraud банков — большой плюс.

Какие книги и ресурсы помогут подготовиться?

«Designing Web APIs», документация MITRE ATT&CK, STIX/TAXII, статьи Sans Institute и Group-IB про threat intelligence. По SQL — задачник Карьерника.

Что подчеркнуть на финале?

Интерес к security и threat intelligence, опыт работы с antifraud в банках или integration с SIEM, готовность к защищённому периметру и расширенной СБ. Истории про работу с регуляторами или incident response — серьёзный плюс.

Чем работа в F.A.C.C.T. отличается от обычного fintech?

Главное отличие — фокус на security data: события безопасности, IoC, antifraud. Это требует понимания security-контекста, специфической терминологии (MITRE ATT&CK, STIX/TAXII), и работы в защищённом периметре. Также расширенная СБ-проверка и compliance — стандартная часть процесса.

Сколько собесов параллельно вести?

2-3 security-компании одновременно (F.A.C.C.T., Positive Technologies, BI.Zone, Kaspersky). Каждый собес требует понимания специфики security-индустрии.

Какие архитектурные кейсы стоит подготовить?

Антифрод-API для банка с low FP, threat intelligence API с обогащением IoC, SIEM-интеграция multi-tenant, forensic data layer с chain of custody, incident response workflow в BPMN.

Это официальная информация?

Этапы основаны на публичных источниках и опыте кандидатов. Уточняйте у рекрутера — формат и грейды отличаются по командам.