Пароль можно не только сбрутфорсить. Если включить режим параноика, то:
1. Если пароль используется в нескольких местах, и одно из этих мест хранило его в открытом виде, а потом у них утащили базу паролей, то злоумышленнику станет известен ваш несменяемый пароль.
2. Чем чаще вводится пароль, тем больше вероятность, что кто-то наблюдавший за вводом сможет его запомнить. Причем необязательно запоминать весь пароль — любая полученная информация облегчит брутфорс.
3. Если информация критичная и кто-то ну ОЧЕНЬ хочет на нее посмотреть, то возможен и вариант брутфорса.

Если будут обрабатываться ПДн — подпадает. Это будет ИСПДн, если по еще действующим документам — то класса скорее всего 3-го.

Чем это чревато…
1. Писанина (всякие документы) — по ФЗ-152, Постановлению Правительства №781.
2. Классификация ИСПДн — по «приказу трех» (ФСТЭК/ФСБ/Минкомсвязи).
3. Нужна будет система защиты. Это модель угроз и требования из Приказа ФСТЭК №58. Плюс ограничение на используемые средства (ниже).
4. Если потребуется еще и криптография (например, данные будут пересылатся через интернет) — еще и по документам ФСБ (выбор средств, разработка документов).

Система защиты строится на средствах «прошедших в установленном порядке процедуру оценки соответствия». На практике — сертифицированных. Касперский сертифицированный есть, с freebsd — печальнее.

Следует еще учитывать, что документы скоро поменяются, а с ними и требования. Но оптимизма мало — подход скорее всего не поменяется…

Ответа на этот вопрос не существует. Мнения разделились ровно поровну. Тот же Алексей Лукацкий оптимистично заявляет, что можно смело писать «угрозы НДВ неактуальны» и уходить от 1-2 уровней. Другие, более осторожные, считают, что так просто не отделаться. Какой-то методики или критериев, позволяющих сказать, что в данном случае угрозы не актуальны, насколько мне известно, нет.

Попробую рассуждать с точки зрения здравого смысла (который к теме защиты ПДн может быть не применим). Если я подозреваю, что нарушитель, который будет против меня действовать, в своем арсенале пакостей имеет одну, которая позволит ему воспользоваться некоей НДВ в используемом мной оборудовании, то я буду использовать проверенные (сертифицированные ) СВТ. Если же мои предполагаемые противники не так продвинуты, я буду считать НДВ неактуальной.

Я бы при составлении Модели угроз прорабатывал этот момент в описании возможностей нарушителя (Модель нарушителя) и в духе "«Используются сертифицированные средства защиты и серийно выпускаемые образцы СВТ от известных поставщиков-производителей...» Ну, короче, тщательно обосновывал бы неактуальность.

Плюс есть шанс, что такой важный момент будет как-то прояснен в дальнейших документах регуляторов, но надежды мало…